Marcado de Conexiones y Paquetes

 

Marcado de paquetes =================== El marcado de cada paquete consume muchos recursos del router, especialmente si la regla tiene que coincidir con muchos parametros del encabezado IP o la lista de direcciones contiene cientos de entradas. Ejemplo: Queremos marcar todos los paquetes TPC excepto los que van al puerto 80 y que es os paquetes coincidan con la address list llamada "first". Ademas marcar todos l os paquetes UDP y hacerlos coincidir con la address list llamada "second". El no mbre que tendran los paquetes marcados seran "first" y "second" respectivamente.

/ip firewall mangle add chain=forward protocol=tcp port=!80 dst-address-list=first action=mark-pac ket new-packet-mark=first add chain=forward protocol=udp dst-address-list=second action=mark-packet newpacket-mark=second La configuracion parece bastante simple y probablemente funcione sin problemas e n redes pequeñas. Pero si multiplicamos las reglas por 10 y agregamos unos cientos de direcciones a las address list, corriendo 100Mbit de trafico sobre este rout er, el uso del CPU crecera rapidamente. La razon para tal comportamiento es que cada regla lee el header IP de cada paquete y trata de hacer coincidir la inform acion obtenida contra los parametros especificados en la regla del firewall

Afortunadamente si "connection tracking" esta habilitada podemos usar el marcado de conexiones para optimizar nuestra configuracion /ip firewall mangle add chain=forward protocol=tcp port=!80 dst-address-list=first connection-stat e=new action=mark-connection \ new-connection-mark=first add chain=forward connection-mark=first action=mark-packet new-packet-mark=fir st passthrough=no add chain=forward protocol=udp dst-address-list=second connection-state=new ac tion=mark-connection \ new-connection-mark=second add chain=forward connection-mark=second action=mark-packet new-packet-mark=se cond passthrough=no Ahora la primer regla interntara matchear la infor del header IP SOLO del primer paquete de la nueva conexion y agregara una marca a dicha conexion.