Настройка файрвола и приоритизация трафика на MikroTik

Включает все, что есть в программе MTCTCE, но глубже погружает в материал.

Подходит для RouterOS v6.49 и v7.18
Актуальность: январь 2025 г.

Индивидуальное обучение онлайн

Удостоверение о повышении квалификации

Вечный доступ к лекциям и конспекту

Курс для инженеров, которые хотят подробно изучить особенности и возможности MikroTik и RouterOS в части трафика и файрвола.

Информации в ~2 раза больше, чем в MTCTCE, без «воды».

Схемы прохождения трафика на устройствах под управлением операционной системы MikroTik RouterOS

Все разделы IP Firewall (Filter, NAT, Mangle, RAW, Service Ports, Connections, Address Lists и L7 Protocols)

Приоритизация трафика с помощью разных видов очередей (Simple Queue, Interface Queue, Queue Tree)

Начало обучения 1 или 16 числа ежемесячно

Дистанционное обучение
Свободный график

Курс проводится полностью онлайн. Ехать никуда не нужно, ни на подачу документов, ни на экзамены.

Период обучения 3 месяца

Точнее, 65 рабочих дней. Вы изучаете материал в своем темпе, расписания нет. Важно закончить обучение в срок.

Нужен только компьютер и интернет

Потребуется ПК с Windows или MacOS. Больше никакого оборудования или платного ПО не нужно.

Как построен учебный цикл

Оплата и регистрация

Ссылка на заполнение анкеты обучающегося приходит автоматически после оплаты на сайте.

Выбор даты обучения

Начать обучение можно 1 или 16 числа каждого месяца. Выбранную дату можно изменить, если у вас поменялись планы.

Старт

Накануне дня начала обучения приходит напоминание о старте и доступ в личный кабинет.

Самостоятельная работа

Вы смотрите видеолекции, решаете тесты, выполняете лабораторные и контрольные работы.

Работа с куратором

Проверяет задания и отвечает на ваши вопросы куратор — практикующий инженер.

Окончание курса

После успешного завершения обучения вы получите удостоверение о повышении квалификации.

Подробное содержание курса по модулям

Подробное описание программы дополнительного образования, оформленное в соответствии с требования Министерства образования РФ (.pdf, 826 КБ) — скачать тут.

Зеленым цветом выделены темы, которых нет в официальной программе MTCTCE

Отслеживание прохождения соединения

Connection Tracker
Возможные проблемы при использовании Connection Tracker, 2 WAN и IP-телефонии

Фильтры

Что не умеет брандмауэр MikroTik
Основы сетевой и информационной безопасности
Цепочки (по умолчанию и настроенные вручную)
Обзор всех видов действий (actions)
Обзор наиболее часто используемых правил (conditions)
Bridge Firewall
Брандмауэр в реальной жизни
Гостевая сеть
DMZ
FastTrack
Доступ после перебора портов
Распространенные атаки
RAW-Filter
Защита от сканирования портов
Защита от DoS-атаки
Доступ к SSH после перебора портов
Layer-7 Filter
Блокировка сайтов, торрентов и Tor
Настройка правил для оптимизации производительности
Поиск ошибок в файрволе

NAT

Цепочки (по умолчанию и настроенные вручную)
Обзор всех видов действий (actions)
Обзор наиболее часто используемых правил (conditions)
Проброс портов и частые ошибки
Netmap
Hairpin NAT
NAT helpers
NAT и IP-телефония
NAT, 2 WAN и IP-телефония

Таблица правил для манипуляции с пакетами (mangle)

Цепочки (по умолчанию и настроенные вручную)
Обзор всех видов действий (actions)
Обзор наиболее часто используемых правил (conditions)
Примеры сложных условий (conditions) (вкладки "advanced" и "extra")
Распространенные ошибки
Лучшие практики по маркировке трафика
Маркировка трафика для IP-телефонии
Маркировка маршрутов

uPNP

Курсовая работа

Схема сети

Для доступа к маршрутизатору из Интернета должен быть разрешен только определенный входящий трафик (SSH, WinboBox и др.). Любой другой трафик должен блокироваться.
Доступ по SSH из Интернета должен быть возможен только после того, как к маршрутизатору в течении одной минуты попробуют подключится по портам: 1234, 2345, 3456. Именно в этой последовательности.
Все DNS запросы должны обрабатываться только через DNS-сервер, указанный на маршрутизаторе, даже если в настройках компьютера указан другой DNS-сервер. При этом компьютер должен думать, что ему отвечает сервер, указанный в настройках.
Маршрутизатор должен быть защищен от атак. Во всех случаях, если это возможно IP-адрес с которого идет атака должен заноситься в черный список и блокироваться.
- Поиск открытых портов для дальнейшей попытки взлома устройств.
- DDoS-атаки через отражение (DNS Amplification).
- DDoS-атаки TCP SYN-flood.
- DDoS-атаки TCP http-flood.
- Другие виды DDoS атак.
- Попытка подбора пароля (brute-force атака) SSH.
В сети должна использоваться демилитаризованная зона (DMZ - Demilitarized Zone). В нее должен быть вынесен web-сервер.
В случае, если отражение атаки занимает ресурсы маршрутизатора, то затрачиваемые ресурсы должны быть минимизированы.
В сети должна использоваться беспроводная гостевая сеть. Клиентам гостевой сети не должны быть доступны ресурсы локальной сети и наоборот.
В целях предотвращения взлома сервер IP-телефонии извне должен быть доступен только для VPN-клиентов.
Правила должны быть не просто расставлены в правильном порядке, но еще и должна использоваться возможность перехода с одного правила на другое минуя лишние правила, чтобы не тратить на их обработку ресурсы процессора маршрутизатора. В зависимости от размера пакета при прохождении пакета через 25 правил файервола производительность может снизиться от 2-х до 10 раз. Указанная конфигурация подразумевает большое количество правил, которые могут существенно снизить нагрузку на маршрутизатор. Например, для RB750Gr3 при использовании пакетов размером 1518 байт без файервола скорость будет 1972 Мбит/с, а в случае прохождения через 25 правил файервола 1128 Мбит/с. При использовании пакетов размером 64 байта без файервола скорость будет 530 Мбит/с, а в случае прохождения через 25 правил файервола всего 48 Мбит/с.

Необходимо настроить правила использования интернет-канала шириной 20 Мбит/с. При настройке надо использовать «Queue Tree».На случай максимальной загрузки канала максимальный приоритет должен иметь управляющий трафик (WinBox, SSH).

1. Трафик IP-телефонии должен иметь приоритет перед всем остальным трафиком без учета управляющего трафика. При этом надо учитывать, что сервер телефонии периодически загружает большое количество обновлений. Поэтому нельзя использовать приоритезацию по IP-адресу сервера, т. к. в таком случае большой приоритет получит и лишний трафик, который может выдавить голосовой трафик.
2. Трафик между локальной сетью и DMZ не должен иметь ограничений по скорости.
3. Если канал использует одно устройство из основной сети, то ему доступна вся скорость полностью.
4. Если из основной сети подключаются второе и последующее устройства, то скорость делится между ними пропорционально запросам. То есть, если одно устройство просит 10 Мбит/с, а другое 3 Мбит/с, то скорость так и распределяется. Если каждое подключенное устройство запрашивает по 20 Мбит/с, то скорость делится между ними поровну.
5. В сети есть VIP-пользователи: директор и главный бухгалтер. В самом плохом случае им должно быть доступно не менее 2 Мбит/с каждому.
6. Если канал используют устройства из гостевой сети, то на все подключенные устройства доступно не более 5 Мбит/с. При этом должна быть доступна возможность кратковременно превысить этот лимит с пиком до 10 Мбит/с.
7. Если за канал конкурируют устройства из гостевой и основной сети, то:
  - Устройства основной сети могут занять весь канал, когда нет запросов от устройств гостевой сети.
  - Устройства гостевой сети получают скорость в соответствии со своими запросами, но не более 2 Мбит/с на всех.

Скриншоты из личного кабинета

Общие сведения о курсе

Комплектация курса

~15 ак. ч. видеолекций
< 110 ак. ч. практических работ
~ 20 ак. ч. выполнения тестов и общения с куратором
Конспект
Итоговая аттестация

Дата начала и общая продолжительность обучения

Программа рассчитана на 150 академических часов.
На ее освоение (период обучения) дается 65 рабочих дней, это примерно 3 месяца.
Дата начала обучения устанавливается в индивидуальном порядке, по согласованию с обучающимся.

Рекомендуемый уровень первоначальной подготовки

Обучение подойдет инженерам, уже знакомым с оборудованием MikroTik на уровне не ниже MTCNA, оптимально — законченный курс «Администрирование сетевых устройств MikroTik».

Формат: онлайн

Курс проводится полностью удаленно

Вы занимаетесь индивидуально в удобное для вас время.
Нет привязки к другим студентам или датам вебинаров.
После успешного завершения обучения у вас остается доступ к лекциям и конспекту.

Требования к организации учебного места

Для обучения нужен компьютер на Windows или MacOS, и доступ в интернет. Специфических требований к организации учебного места нет.

Документ по итогам обучения

Вид выдаваемого документа зависит от уровня базового образования обучающегося.
Удостоверение о повышении квалификации с занесением в реестр Рособрнадзора (ФИС ФРДО), или
Сертификат проекта «Курсы по ИТ. рф» об освоении программы
Посмотрите образцы документов.

Стоимость курса
«Настройка файрвола и приоритизация трафика на MikroTik»
25 000 руб (~320 $)

Принимаем российские и зарубежные карты

ОПЛАТИТЬ КУРС ОНЛАЙН

Другие способы оплаты

от юр. лица или ИП

с расчетного счета

рассрочка Т-Банк

без переплаты и первоначального взноса

перевод не из РФ

в USD на карту

Гарантия возврата 100% оплаты

в течение 30 дней после покупки, если вы решите отказаться от обучения. Без доп. условий и заявлений.

Вы можете вернуть 13% от затрат на обучение

если оформите налоговый вычет при подаче декларации 3-НДФЛ

Информация о выдаваемых документах

Удостоверение о повышении квалификации

выдается обучающимся, предоставившим при зачислении документ о законченном среднем профессиональном или высшем образовании любого профиля. Данные о документе заносятся в Федеральный реестр сведений об образовании (ФИС ФРДО). Подлинность документа можно проверить онлайн на сайте Рособрнадзора РФ.

Лицензия на образовательную деятельность

Электронный сертификат

выдается обучающимся, не имеющим законченного среднего профессионального или высшего образования, либо не предъявившим соответствующий диплом при зачислении.

Примеры видеолекций

Примеры уроков

Отзывы из нашей группы Вконтакте:

В процессе изучения курса приходит окончательное понимание, что происходит с трафиком внутри маршрутизатора, как правильно настроить элементы сетевого экрана и приоритизацию трафика и почему их нужно настраивать именно так.

Александр Обухов

Очень много узнал об NAT и атакующих угрозах, таких как: Dos, SYN-flood атаки. В курсе показано как с ними борются. Больше всего понравился модуль «Модуль 2. Брандмауэр», темы: «Тема 2. Фильтр», Тема 3. NAT. До этого курса проходил еще несколько, но этот оказался самым сложный и тем самым интересный.

Виталий Ваганов

Начинаем с простого, заканчиваем полностью настроенным роутером в очень сложной конфигурации. Потом можно брать полученную конфу и применять ее в жизни. Прокачал я свои скиллы очень хорошо. И смог у клиента решить одну задачу, которую не мог долго решить. Понимание NAT'а из курса прямо выручило. Одним словом, очень рекомендую.

Игорь Нагорный

Автор курса: сертифицированный тренер MikroTik

Дмитрий Скоромнов

Практикующий сетевой инженер
с опытом >15 лет
Постоянный спикер на MikroTik User Meeting
Инженер связи с высшим техническим образованием
Автор учебных программ и преподаватель с 2011 года
Единственный тренер MikroTik, получивший государственную лицензию РФ на образовательную деятельность.

Сравнение программы ДПО «Настройка файрвола и приоритизация трафика на MikroTik» с тренингами MTCTCE

Сравнение сделано именно с очными тренингами, потому что аналогичного онлайн-курса нет.

ООО «Курсы по ИТ.рф» единственный учебный центр, который выдает удостоверения о повышении квалификации сетевых инженеров в области профессиональной работы с оборудованием MikroTik. На знания и наши официальные документы об образовании никакие санкции не распространяются.

По требованию вендора, официальный сертификат можно получить, только пройдя экзамен после очного курса при личном присутствии тренера.
В связи с санкциями, тренерские сертификаты MikroTik в РФ заморожены на неопределенное время (но не отозваны). В России на данный момент нельзя сдать экзамен и получить сертификат от MikroTik.

Продолжительность

~64 часа (85 ак.ч. = 14 ак.ч. лекций + 70 ак.ч. примерное время выполнения практических заданий и тестов)

~26 часов на все: теорию, практику, вопросы тренеру, экзамен… и перекусы.

Лабораторные работы

Позволяют освоить и закрепить навыки настройки для реальной работы

Дают только общее представление о возможностях оборудования

Консультации тренера

56 дней на личные консультации и проверку всех заданий курса

3 дня, на тренинге, в живой очереди с другими участниками

Повторение пройденного

Официальный сертификат MikroTik

Удостоверение о
повышении квалификации