2014年5月25日 星期日

MikroTik RouterOS 限制UDP connection連線數的方法

L7-filter Supported Protocols 網站上已經告訴大家:Last updated 7 Jan 2009

從2009年至今,各式p2p演變甚大,各式加密方法加諸其上,傳統的L7-filter Supported Protocols已經無法抵擋了,只會徒增加硬體負擔。

既然要抓出各式各樣的p2p是有其困難,山不轉路轉,可以試試採用限制udp連線數的方式(UDP connection-limit),包含多數bt下載、迅雷、等都可有效控制。

官網上有這段:
Starting already from v5.7 connection-limit can be used to limit other protocols, too.
簡單說就是可以限制很多的協定啦,如tcp、udp、igmp、icmp、等等。

我的版本:v6.13(從v5.7之後都有支援upd connection-limit)

操作方式如下,一樣截圖讓大家依樣畫葫蘆玩玩:
限制每台client使用者50個udp連線上限(50個只是舉例,請依照您的環境自行調整,建議先觀察各類p2p下載時的udp連線數目,再來限制)

下指令可以這樣:
/ip firewall filter
add chain=forward action=drop protocol=udp connection-limit=50,32




MikroTik RouterOS 強迫只能DHCP發放IP,手動設定IP是不會通

我只想要讓使用者一定得採用DHCP,其他不管。
強迫採用DHCP下,可以避免有些使用者自己手動設定IP狀況下,發生了與他人的IP衝突現象。

請注意:當採取強迫DHCP方式下,當手動設定IP時,會發生連GateWay都ping不到,一般管理者都會先手動設定IP後再來連線RouterOS,所以當管理者自己預先知道有此狀況下,就不會誤會機子有問題!

我的環境是:
版本:v6.13
網段:10.10.110.0
GateWay:10.10.110.254
dhcp server:10.10.110.254

方式如下擷取幾個圖讓大家方便依樣畫葫蘆設定
↓設定路徑:IP→DHCP SERVER→DHCP

↓設定路徑:Interfaces→Interface→選擇發放IP那個介面



最後要特別聲明下,如果您依照我這樣的設定後,會有一些狀況導致無法取得IP,那是因為一些網管型switch交換器的因素,特此提醒,以免浪費您時間debug。