ежедневно, c 10:00 до 20:00 по мск: +7(499)653−76−01
support@kursy-po-it.ru
 

Настройка файрвола и приоритизация трафика на MikroTik

Включает все, что есть в программе MTCTCE, но глубже погружает в материал.

Подходит для RouterOS v6.49 и v7.5
Актуальность: сентябрь 2022 г.
Индивидуальное обучение онлайн
Удостоверение о повышении квалификации
Вечный доступ к лекциям и конспекту
Программа дополнительного профессионального образования
Цель программы:
усовершенствовать навыки работы с MikroTik
В процессе обучения вы изучите:
  • схемы прохождения трафика на устройствах под управлением операционной системы MikroTik RouterOS;
  • все разделы IP Firewall (Filter, NAT, Mangle, RAW, Service Ports, Connections, Address Lists и L7 Protocols);
  • приоритизацию трафика с помощью разных видов очередей (Simple Queue, Interface Queue, Queue Tree).
Уровень первоначальной подготовки
Обучение подойдет инженерам, уже знакомым с оборудованием MikroTik на уровне не ниже MTCNA, оптимально — законченный курс «Администрирование сетевых устройств MikroTik».
Форма обучения:
заочная, дистанционная (онлайн)
Курс проводится полностью удаленно. Место жительства и гражданство значения не имеют.
  • Вы занимаетесь индивидуально в удобное для вас время.
  • Нет привязки к другим студентам или датам вебинаров.
  • Лабораторные работы проверяют и на вопросы отвечают автор курса — официальный тренер MikroTik и кураторы — сертифицированные инженеры MikroTik.
Дата начала и общая продолжительность обучения
  • Программа рассчитана на 85 академических часов.
  • На ее освоение (период обучения) дается 56 календарных дней.
  • Дата начала обучения устанавливается в индивидуальном порядке, по согласованию с обучающимся.
  • После успешного завершения обучения, у вас останутся навсегда видеолекции и конспект.
Темы курса:
схема
Схемы прохождения трафика
файрвол
Все разделы IP Firewall
приоритет
Приоритизация трафика (QoS)
Подробное содержание курса по модулям
Подробное описание программы дополнительного образования, оформленное в соответствии с требования Министерства образования РФ (.pdf, 826 КБ) — скачать тут.
Зеленым цветом выделены темы, которых нет в официальной программе MTCTCE
Модуль1. Схемы прохождения трафика
  • Почему важно понимать схему прохождения пакетов?
  • Полный обзор схемы прохождения пакетов
  • Простые примеры как пакеты проходят через диаграмму (маршрутизация, бриджинг, подключение к маршрутизатору и др.)
  • Более сложные примеры использования диаграммы
  • Специфика выбора интерфейсов: физические и виртуальные
  • Распространенные ошибки
Модуль 2. IP Firewall Filter/NAT/Mangle
Отслеживание прохождения соединения
  • Connection Tracker
  • Возможные проблемы при использовании Connection Tracker, 2 WAN и IP-телефонии
Фильтры
  • Что не умеет брандмауэр MikroTik
  • Основы сетевой и информационной безопасности
  • Цепочки (по умолчанию и настроенные вручную)
  • Обзор всех видов действий (actions)
  • Обзор наиболее часто используемых правил (conditions)
  • Bridge Firewall
  • Брандмауэр в реальной жизни
  • Гостевая сеть
  • DMZ
  • FastTrack
  • Доступ после перебора портов
  • Распространенные атаки
  • RAW-Filter
  • Защита от сканирования портов
  • Защита от DoS-атаки
  • Доступ к SSH после перебора портов
  • Layer-7 Filter
  • Блокировка сайтов, торрентов и Tor
  • Настройка правил для оптимизации производительности
  • Поиск ошибок в файрволе
NAT
  • Цепочки (по умолчанию и настроенные вручную)
  • Обзор всех видов действий (actions)
  • Обзор наиболее часто используемых правил (conditions)
  • Проброс портов и частые ошибки
  • Netmap
  • Hairpin NAT
  • NAT helpers
  • NAT и IP-телефония
  • NAT, 2 WAN и IP-телефония
Таблица правил для манипуляции с пакетами (mangle)
  • Цепочки (по умолчанию и настроенные вручную)
  • Обзор всех видов действий (actions)
  • Обзор наиболее часто используемых правил (conditions)
  • Примеры сложных условий (conditions) (вкладки "advanced" и "extra")
  • Распространенные ошибки
  • Лучшие практики по маркировке трафика
  • Маркировка трафика для IP-телефонии
  • Маркировка маршрутов
uPNP
Модуль 3. Приоритизация трафика (Quality of Service)
  • HTB (Hierarchical Token Bucket, Иерархический буфер токенов)
    • Основная информация по HTB
    • Внедрение HTB (дерево очередей)
    • Структура HTB
    • Двойное ограничение на HTB
  • Burst (режим вспышки или форсированный режим)
  • Виды очередей
    • FIFO
    • SFQ
    • RED
    • PCQ
    • Размер очереди
  • Простые очереди
  • Взаимодействие простой очереди и дерева очередей
  • Настройка правил для оптимизации производительности
  • Приоритезация для VPN
  • Распространенные ошибки
  • DSCP
Курсовая работа
MTCTCE лабораторная работа><meta itemprop=
Схема сети
Легенда
У компании три офиса: головной офис, филиал №1 и филиал №2. Филиал №2 появился недавно за счет покупки конкурента, который имел свою IT-инфраструктуру. Оказалось, что конкурент использовал ту же самую IP-подсеть, что и головной офис. Это вызывает затруднения при использовании site-to-site VPN. По ряду причин оперативно изменить адресацию ни в головном офисе, ни в филиале №2 нельзя. Компания использует собственный web-сервер. В целях безопасности этот сервер вынесен в демилитаризованную зону. Так же используется собственный сервер IP-телефонии. Номер телефона предоставляется провайдером телефонии. Используются IP-телефоны Cisco. Часть сотрудников имеют право подключаться извне с помощью client-to-site VPN.
Защита сети
  1. Для доступа к маршрутизатору из Интернета должен быть разрешен только определенный входящий трафик (SSH, WinboBox и др.). Любой другой трафик должен блокироваться.
  2. Доступ по SSH из Интернета должен быть возможен только после того, как к маршрутизатору в течении одной минуты попробуют подключится по портам: 1234, 2345, 3456. Именно в этой последовательности.
  3. Все DNS запросы должны обрабатываться только через DNS-сервер, указанный на маршрутизаторе, даже если в настройках компьютера указан другой DNS-сервер. При этом компьютер должен думать, что ему отвечает сервер, указанный в настройках.
  4. Маршрутизатор должен быть защищен от атак. Во всех случаях, если это возможно IP-адрес с которого идет атака должен заноситься в черный список и блокироваться.
    • Поиск открытых портов для дальнейшей попытки взлома устройств.
    • DDoS-атаки через отражение (DNS Amplification).
    • DDoS-атаки TCP SYN-flood.
    • DDoS-атаки TCP http-flood.
    • Другие виды DDoS атак.
    • Попытка подбора пароля (brute-force атака) SSH.
  5. В сети должна использоваться демилитаризованная зона (DMZ - Demilitarized Zone). В нее должен быть вынесен web-сервер.
  6. В случае, если отражение атаки занимает ресурсы маршрутизатора, то затрачиваемые ресурсы должны быть минимизированы.
  7. В сети должна использоваться беспроводная гостевая сеть. Клиентам гостевой сети не должны быть доступны ресурсы локальной сети и наоборот.
  8. В целях предотвращения взлома сервер IP-телефонии извне должен быть доступен только для VPN-клиентов.
  9. Правила должны быть не просто расставлены в правильном порядке, но еще и должна использоваться возможность перехода с одного правила на другое минуя лишние правила, чтобы не тратить на их обработку ресурсы процессора маршрутизатора. В зависимости от размера пакета при прохождении пакета через 25 правил файервола производительность может снизиться от 2-х до 10 раз. Указанная конфигурация подразумевает большое количество правил, которые могут существенно снизить нагрузку на маршрутизатор. Например, для RB750Gr3 при использовании пакетов размером 1518 байт без файервола скорость будет 1972 Мбит/с, а в случае прохождения через 25 правил файервола 1128 Мбит/с. При использовании пакетов размером 64 байта без файервола скорость будет 530 Мбит/с, а в случае прохождения через 25 правил файервола всего 48 Мбит/с.
Приоритезация трафика (QoS - Quality of Service)
Необходимо настроить правила использования интернет-канала шириной 20 Мбит/с. При настройке надо использовать «Queue Tree».На случай максимальной загрузки канала максимальный приоритет должен иметь управляющий трафик (WinBox, SSH).
    1. Трафик IP-телефонии должен иметь приоритет перед всем остальным трафиком без учета управляющего трафика. При этом надо учитывать, что сервер телефонии периодически загружает большое количество обновлений. Поэтому нельзя использовать приоритезацию по IP-адресу сервера, т. к. в таком случае большой приоритет получит и лишний трафик, который может выдавить голосовой трафик.
    2. Трафик между локальной сетью и DMZ не должен иметь ограничений по скорости.
    3. Если канал использует одно устройство из основной сети, то ему доступна вся скорость полностью.
    4. Если из основной сети подключаются второе и последующее устройства, то скорость делится между ними пропорционально запросам. То есть, если одно устройство просит 10 Мбит/с, а другое 3 Мбит/с, то скорость так и распределяется. Если каждое подключенное устройство запрашивает по 20 Мбит/с, то скорость делится между ними поровну.
    5. В сети есть VIP-пользователи: директор и главный бухгалтер. В самом плохом случае им должно быть доступно не менее 2 Мбит/с каждому.
    6. Если канал используют устройства из гостевой сети, то на все подключенные устройства доступно не более 5 Мбит/с. При этом должна быть доступна возможность кратковременно превысить этот лимит с пиком до 10 Мбит/с.
    7. Если за канал конкурируют устройства из гостевой и основной сети, то:
      • Устройства основной сети могут занять весь канал, когда нет запросов от устройств гостевой сети.
      • Устройства гостевой сети получают скорость в соответствии со своими запросами, но не более 2 Мбит/с на всех.
Прочее
  1. В головном офисе и филиале №2 используется одна и та же IP-подсеть. Это затрудняет использование site-to-site VPN. Необходимо решить эту проблему без изменения адресации.
  2. Определенной группе пользователей должны быть недоступны социальные сети: ok.ru, vk.com, facebook.com. Они должны быть недоступны даже через анонимайзеры.
  3. Веб-сервер, расположенный в DMZ, должен быть доступен из DMZ по IP-адресу WAN-интерфейса (технология Hairpin NAT).
Скриншоты из личного кабинета
Примеры видеолекций
Информация о правах на образовательную деятельность и выдаваемых документах
ООО «Курсы по ИТ.рф» единственный учебный центр, который выдает удостоверения о повышении квалификации сетевых инженеров в области профессиональной работы с оборудованием MikroTik.
Для обучающихся, предоставивших для зачисления документ о законченном среднем профессиональном или высшем образовании любого профиля (в том числе иностранного государства).

Выдаваемый документ: Удостоверение о повышении квалификации на защищенном бланке. Данные о документе заносятся в Федеральный реестр сведений об образовании (ФИС ФРДО). Подлинность документа можно проверить онлайн на сайте Рособрнадзора РФ.

Основание: Государственная лицензия РФ рег. № Л035−1 255−50/213 784, выданная распоряжением Министерства образования Московской области № РС/Л-47 от «22» апреля 2022 г.
Для обучающихся, не имеющих законченного среднего профессионального/высшего образования, либо по желанию обучающегося, не зависимо от уровня образования.

Выдаваемый документ: сертификат об успешном завершении обучения от образовательного проекта «Курсы по ИТ.рф».

Основание: патент на дополнительное образование взрослых.
Стоимость обучения по программе дополнительного профессионального образования
«Настройка файрвола и приоритизация трафика на MikroTik»
25 000 руб.
(450 $)
Оформление покупки по 54-ФЗ (чек от онлайн-кассы придет по электронной почте в течение 5 минут после оплаты).

Покупка курса, если нет российской банковской карты
Оплата с карт иностранных банков доступна по запросу, пишите на support@kursy-po-it.ru. В теме письма укажите название курса.
Покупка от юрлица или ИП
Заполните заявку на счет. Доступно, в том числе, для юрлиц Беларуси и Казахстана.
Рассрочка от банка Тинькофф
возможна на 6 месяцев.
Без переплаты и первоначального взноса, срок первого платежа — через месяц.
Как подать заявку.
Гарантия возврата 100% оплаты
в течение 30 дней после покупки, если вы решите отказаться от обучения. Без доп. условий и заявлений.

Вы можете вернуть 13% от затрат на обучение

если оформите налоговый вычет при подаче декларации 3-НДФЛ
Автор курса: сертифицированный тренер MikroTik
Дмитрий Скоромнов
  • Практикующий сетевой инженер
    с опытом >15 лет
  • Постоянный спикер на MikroTik User Meeting
  • Инженер связи с высшим техническим образованием
  • Автор учебных программ и преподаватель с 2011 года
  • Единственный тренер MikroTik, получивший государственную лицензию РФ на образовательную деятельность.
TRAINERMTCSWEMTCSEMTCUMEMTCEWEMTCWEMTCREMTCTCEMTCNA

Сравнение программы ДПО «Настройка файрвола и приоритизация трафика на MikroTik» с тренингами MTCTCE

Сравнение сделано именно с очными тренингами, потому что аналогичного онлайн-курса нет.
ООО «Курсы по ИТ.рф» единственный учебный центр, который выдает удостоверения о повышении квалификации сетевых инженеров в области профессиональной работы с оборудованием MikroTik. На знания и  наши официальные документы об образовании никакие санкции не распространяются.

По требованию вендора, официальный сертификат можно получить, только пройдя экзамен после очного курса при личном присутствии тренера.
В связи с санкциями, тренерские сертификаты MikroTik в РФ заморожены на неопределенное время (но не отозваны). В России на данный момент нельзя сдать экзамен и получить сертификат от MikroTik.
Настройка файрвола и приоритизация трафика на MikroTik
Условно-стандартный очный тренинг MTCTCE
Продолжительность
~64 часа (85 ак.ч. = 14 ак.ч. лекций + 70 ак.ч. примерное время выполнения практических заданий и тестов)
~26 часов на все: теорию, практику, вопросы тренеру, экзамен… и перекусы.
Лабораторные работы
Позволяют освоить и закрепить навыки настройки для реальной работы
Дают только общее представление о возможностях оборудования
Консультации тренера
56 дней на личные консультации и проверку всех заданий курса
3 дня, на тренинге, в живой очереди с другими участниками
Повторение пройденного
Официальный сертификат MikroTik
Удостоверение о 
повышении квалификации