ежедневно, c 10:00 до 20:00 по мск: +7(499)653−76−01
support@kursy-po-it.ru
support@kursy-po-it.ru
Настройка файрвола и приоритизация трафика на MikroTik
Включает все, что есть в программе MTCTCE, но глубже погружает в материал.
Подходит для RouterOS v6.49 и v7.18
Актуальность: январь 2025 г.
Подходит для RouterOS v6.49 и v7.18
Актуальность: январь 2025 г.
с 5 по 15 мая скидки 30−40%
Предстарт нового онлайн-курса «Математика и физика в сетевых технологиях» 16 МАЯ
Предстарт нового онлайн-курса «Математика и физика в сетевых технологиях» 16 МАЯ
Индивидуальное обучение онлайн
Удостоверение о повышении квалификации
Вечный доступ к лекциям и конспекту
Курс для инженеров, которые хотят подробно изучить особенности и возможности MikroTik и RouterOS в части трафика и файрвола.
Информации в ~2 раза больше, чем в MTCTCE, без «воды».
-
Схемы прохождения трафика на устройствах под управлением операционной системы MikroTik RouterOS
-
Все разделы IP Firewall (Filter, NAT, Mangle, RAW, Service Ports, Connections, Address Lists и L7 Protocols)
-
Приоритизация трафика с помощью разных видов очередей (Simple Queue, Interface Queue, Queue Tree)
Начало обучения 1 или 16 числа ежемесячно
Дистанционное обучение
Свободный график
Свободный график
Курс проводится полностью онлайн. Ехать никуда не нужно, ни на подачу документов, ни на экзамены.
Период обучения 3 месяца
Точнее, 65 рабочих дней. Вы изучаете материал в своем темпе, расписания нет. Важно закончить обучение в срок.
Нужен только компьютер и интернет
Потребуется ПК с Windows или MacOS. Больше никакого оборудования или платного ПО не нужно.
Как построен учебный цикл
Оплата и регистрация
Ссылка на заполнение анкеты обучающегося приходит автоматически после оплаты на сайте.
Выбор даты обучения
Начать обучение можно 1 или 16 числа каждого месяца. Выбранную дату можно изменить, если у вас поменялись планы.
Старт
Накануне дня начала обучения приходит напоминание о старте и доступ в личный кабинет.
Самостоятельная работа
Вы смотрите видеолекции, решаете тесты, выполняете лабораторные и контрольные работы.
Работа с куратором
Проверяет задания и отвечает на ваши вопросы куратор — практикующий инженер.
Окончание курса
После успешного завершения обучения вы получите удостоверение о повышении квалификации.
Подробное содержание курса по модулям
Подробное описание программы дополнительного образования, оформленное в соответствии с требования Министерства образования РФ (.pdf, 826 КБ) — скачать тут.
Зеленым цветом выделены темы, которых нет в официальной программе MTCTCE
- Почему важно понимать схему прохождения пакетов?
- Полный обзор схемы прохождения пакетов
- Простые примеры как пакеты проходят через диаграмму (маршрутизация, бриджинг, подключение к маршрутизатору и др.)
- Более сложные примеры использования диаграммы
- Специфика выбора интерфейсов: физические и виртуальные
- Распространенные ошибки
Отслеживание прохождения соединения
- Connection Tracker
- Возможные проблемы при использовании Connection Tracker, 2 WAN и IP-телефонии
- Что не умеет брандмауэр MikroTik
- Основы сетевой и информационной безопасности
- Цепочки (по умолчанию и настроенные вручную)
- Обзор всех видов действий (actions)
- Обзор наиболее часто используемых правил (conditions)
- Bridge Firewall
- Брандмауэр в реальной жизни
- Гостевая сеть
- DMZ
- FastTrack
- Доступ после перебора портов
- Распространенные атаки
- RAW-Filter
- Защита от сканирования портов
- Защита от DoS-атаки
- Доступ к SSH после перебора портов
- Layer-7 Filter
- Блокировка сайтов, торрентов и Tor
- Настройка правил для оптимизации производительности
- Поиск ошибок в файрволе
- Цепочки (по умолчанию и настроенные вручную)
- Обзор всех видов действий (actions)
- Обзор наиболее часто используемых правил (conditions)
- Проброс портов и частые ошибки
- Netmap
- Hairpin NAT
- NAT helpers
- NAT и IP-телефония
- NAT, 2 WAN и IP-телефония
- Цепочки (по умолчанию и настроенные вручную)
- Обзор всех видов действий (actions)
- Обзор наиболее часто используемых правил (conditions)
- Примеры сложных условий (conditions) (вкладки "advanced" и "extra")
- Распространенные ошибки
- Лучшие практики по маркировке трафика
- Маркировка трафика для IP-телефонии
- Маркировка маршрутов
- HTB (Hierarchical Token Bucket, Иерархический буфер токенов)
- Основная информация по HTB
- Внедрение HTB (дерево очередей)
- Структура HTB
- Двойное ограничение на HTB
- Burst (режим вспышки или форсированный режим)
- Виды очередей
- FIFO
- SFQ
- RED
- PCQ
- Размер очереди
- Простые очереди
- Взаимодействие простой очереди и дерева очередей
- Настройка правил для оптимизации производительности
- Приоритезация для VPN
- Распространенные ошибки
- DSCP
Курсовая работа
Схема сети
У компании три офиса: головной офис, филиал №1 и филиал №2. Филиал №2 появился недавно за счет покупки конкурента, который имел свою IT-инфраструктуру. Оказалось, что конкурент использовал ту же самую IP-подсеть, что и головной офис. Это вызывает затруднения при использовании site-to-site VPN. По ряду причин оперативно изменить адресацию ни в головном офисе, ни в филиале №2 нельзя.
Компания использует собственный web-сервер. В целях безопасности этот сервер вынесен в демилитаризованную зону.
Так же используется собственный сервер IP-телефонии. Номер телефона предоставляется провайдером телефонии. Используются IP-телефоны Cisco.
Часть сотрудников имеют право подключаться извне с помощью client-to-site VPN.
- Для доступа к маршрутизатору из Интернета должен быть разрешен только определенный входящий трафик (SSH, WinboBox и др.). Любой другой трафик должен блокироваться.
- Доступ по SSH из Интернета должен быть возможен только после того, как к маршрутизатору в течении одной минуты попробуют подключится по портам: 1234, 2345, 3456. Именно в этой последовательности.
- Все DNS запросы должны обрабатываться только через DNS-сервер, указанный на маршрутизаторе, даже если в настройках компьютера указан другой DNS-сервер. При этом компьютер должен думать, что ему отвечает сервер, указанный в настройках.
-
Маршрутизатор должен быть защищен от атак. Во всех случаях, если это возможно IP-адрес с которого идет атака должен заноситься в черный список и блокироваться.
- Поиск открытых портов для дальнейшей попытки взлома устройств.
- DDoS-атаки через отражение (DNS Amplification).
- DDoS-атаки TCP SYN-flood.
- DDoS-атаки TCP http-flood.
- Другие виды DDoS атак.
- Попытка подбора пароля (brute-force атака) SSH.
- В сети должна использоваться демилитаризованная зона (DMZ - Demilitarized Zone). В нее должен быть вынесен web-сервер.
- В случае, если отражение атаки занимает ресурсы маршрутизатора, то затрачиваемые ресурсы должны быть минимизированы.
- В сети должна использоваться беспроводная гостевая сеть. Клиентам гостевой сети не должны быть доступны ресурсы локальной сети и наоборот.
- В целях предотвращения взлома сервер IP-телефонии извне должен быть доступен только для VPN-клиентов.
- Правила должны быть не просто расставлены в правильном порядке, но еще и должна использоваться возможность перехода с одного правила на другое минуя лишние правила, чтобы не тратить на их обработку ресурсы процессора маршрутизатора. В зависимости от размера пакета при прохождении пакета через 25 правил файервола производительность может снизиться от 2-х до 10 раз. Указанная конфигурация подразумевает большое количество правил, которые могут существенно снизить нагрузку на маршрутизатор. Например, для RB750Gr3 при использовании пакетов размером 1518 байт без файервола скорость будет 1972 Мбит/с, а в случае прохождения через 25 правил файервола 1128 Мбит/с. При использовании пакетов размером 64 байта без файервола скорость будет 530 Мбит/с, а в случае прохождения через 25 правил файервола всего 48 Мбит/с.
Необходимо настроить правила использования интернет-канала шириной 20 Мбит/с. При настройке надо использовать «Queue Tree».На случай максимальной загрузки канала максимальный приоритет должен иметь управляющий трафик (WinBox, SSH).
- Трафик IP-телефонии должен иметь приоритет перед всем остальным трафиком без учета управляющего трафика. При этом надо учитывать, что сервер телефонии периодически загружает большое количество обновлений. Поэтому нельзя использовать приоритезацию по IP-адресу сервера, т. к. в таком случае большой приоритет получит и лишний трафик, который может выдавить голосовой трафик.
- Трафик между локальной сетью и DMZ не должен иметь ограничений по скорости.
- Если канал использует одно устройство из основной сети, то ему доступна вся скорость полностью.
- Если из основной сети подключаются второе и последующее устройства, то скорость делится между ними пропорционально запросам. То есть, если одно устройство просит 10 Мбит/с, а другое 3 Мбит/с, то скорость так и распределяется. Если каждое подключенное устройство запрашивает по 20 Мбит/с, то скорость делится между ними поровну.
- В сети есть VIP-пользователи: директор и главный бухгалтер. В самом плохом случае им должно быть доступно не менее 2 Мбит/с каждому.
- Если канал используют устройства из гостевой сети, то на все подключенные устройства доступно не более 5 Мбит/с. При этом должна быть доступна возможность кратковременно превысить этот лимит с пиком до 10 Мбит/с.
-
Если за канал конкурируют устройства из гостевой и основной сети, то:
- Устройства основной сети могут занять весь канал, когда нет запросов от устройств гостевой сети.
- Устройства гостевой сети получают скорость в соответствии со своими запросами, но не более 2 Мбит/с на всех.
- В головном офисе и филиале №2 используется одна и та же IP-подсеть. Это затрудняет использование site-to-site VPN. Необходимо решить эту проблему без изменения адресации.
- Определенной группе пользователей должны быть недоступны социальные сети: ok.ru, vk.com, facebook.com. Они должны быть недоступны даже через анонимайзеры.
- Веб-сервер, расположенный в DMZ, должен быть доступен из DMZ по IP-адресу WAN-интерфейса (технология Hairpin NAT).
Скриншоты из личного кабинета
Общие сведения о курсе
Комплектация курса
- ~15 ак. ч. видеолекций
- < 110 ак. ч. практических работ
- ~ 20 ак. ч. выполнения тестов и общения с куратором
- Конспект
- Итоговая аттестация
Дата начала и общая продолжительность обучения
- Программа рассчитана на 150 академических часов.
- На ее освоение (период обучения) дается 65 рабочих дней, это примерно 3 месяца.
- Дата начала обучения устанавливается в индивидуальном порядке, по согласованию с обучающимся.
Рекомендуемый уровень первоначальной подготовки
Обучение подойдет инженерам, уже знакомым с оборудованием MikroTik на уровне не ниже MTCNA, оптимально — законченный курс «Администрирование сетевых устройств MikroTik».
Формат: онлайн
Курс проводится полностью удаленно
- Вы занимаетесь индивидуально в удобное для вас время.
- Нет привязки к другим студентам или датам вебинаров.
- После успешного завершения обучения у вас остается доступ к лекциям и конспекту.
Требования к организации учебного места
Для обучения нужен компьютер на Windows или MacOS, и доступ в интернет. Специфических требований к организации учебного места нет.
Документ по итогам обучения
Вид выдаваемого документа зависит от уровня базового образования обучающегося.
Удостоверение о повышении квалификации с занесением в реестр Рособрнадзора (ФИС ФРДО), или
Сертификат проекта «Курсы по ИТ. рф» об освоении программы
Посмотрите образцы документов.
Удостоверение о повышении квалификации с занесением в реестр Рособрнадзора (ФИС ФРДО), или
Сертификат проекта «Курсы по ИТ. рф» об освоении программы
Посмотрите образцы документов.
Стоимость курса
«Настройка файрвола и приоритизация трафика на MikroTik»
25 000 руб (~320 $)
«Настройка файрвола и приоритизация трафика на MikroTik»
25 000 руб (~320 $)
Принимаем российские и зарубежные карты
Другие способы оплаты
с расчетного счета
без переплаты и первоначального взноса
в USD на карту
По 15 мая включительно скидка 30−40% на все учебные программы при покупке курса «Математика и физика в сетевых технологиях»
Каждый из курсов дает право получить удостоверение о повышении квалификации с занесением в ФИС ФРДО (база данных министерства образования РФ).
Начать обучение можно в течение года после оплаты.
При участии в данной акции обучающийся имеет право на приоритетное зачисление в первый поток курса «Математика и физика в сетевых технологиях» с 16 мая 2025 года.
Начать обучение можно в течение года после оплаты.
При участии в данной акции обучающийся имеет право на приоритетное зачисление в первый поток курса «Математика и физика в сетевых технологиях» с 16 мая 2025 года.
с расчетного счета
без переплаты и первоначального взноса
Гарантия возврата 100% оплаты
в течение 30 дней после покупки, если вы решите отказаться от обучения. Без доп. условий и заявлений.
Вы можете вернуть 13% от затрат на обучение
если оформите налоговый вычет при подаче декларации 3-НДФЛ
Информация о выдаваемых документах
Удостоверение о повышении квалификации
выдается обучающимся, предоставившим при зачислении документ о законченном среднем профессиональном или высшем образовании любого профиля. Данные о документе заносятся в Федеральный реестр сведений об образовании (ФИС ФРДО). Подлинность документа можно проверить онлайн на сайте Рособрнадзора РФ.
Электронный сертификат
выдается обучающимся, не имеющим законченного среднего профессионального или высшего образования, либо не предъявившим соответствующий диплом при зачислении.
Примеры видеолекций
Отзывы из нашей группы Вконтакте:
Автор курса: сертифицированный тренер MikroTik
Дмитрий Скоромнов
- Практикующий сетевой инженер
с опытом >15 лет - Постоянный спикер на MikroTik User Meeting
- Инженер связи с высшим техническим образованием
- Автор учебных программ и преподаватель с 2011 года
- Единственный тренер MikroTik, получивший государственную лицензию РФ на образовательную деятельность.
Сравнение программы ДПО «Настройка файрвола и приоритизация трафика на MikroTik» с тренингами MTCTCE
Сравнение сделано именно с очными тренингами, потому что аналогичного онлайн-курса нет.
ООО «Курсы по ИТ.рф» единственный учебный центр, который выдает удостоверения о повышении квалификации сетевых инженеров в области профессиональной работы с оборудованием MikroTik. На знания и наши официальные документы об образовании никакие санкции не распространяются.
По требованию вендора, официальный сертификат можно получить, только пройдя экзамен после очного курса при личном присутствии тренера.
В связи с санкциями, тренерские сертификаты MikroTik в РФ заморожены на неопределенное время (но не отозваны). В России на данный момент нельзя сдать экзамен и получить сертификат от MikroTik.
По требованию вендора, официальный сертификат можно получить, только пройдя экзамен после очного курса при личном присутствии тренера.
В связи с санкциями, тренерские сертификаты MikroTik в РФ заморожены на неопределенное время (но не отозваны). В России на данный момент нельзя сдать экзамен и получить сертификат от MikroTik.
Настройка файрвола и приоритизация трафика на MikroTik
Условно-стандартный очный тренинг MTCTCE
Продолжительность
~64 часа (85 ак.ч. = 14 ак.ч. лекций + 70 ак.ч. примерное время выполнения практических заданий и тестов)
~26 часов на все: теорию, практику, вопросы тренеру, экзамен… и перекусы.
Лабораторные работы
Позволяют освоить и закрепить навыки настройки для реальной работы
Дают только общее представление о возможностях оборудования
Консультации тренера
56 дней на личные консультации и проверку всех заданий курса
3 дня, на тренинге, в живой очереди с другими участниками
Повторение пройденного
Официальный сертификат MikroTik
Удостоверение о
повышении квалификации
повышении квалификации