Настройка файрвола и приоритизация трафика на MikroTik

Включает все, что есть в программе MTCTCE, но глубже погружает в материал.

Подходит для RouterOS v6.49 и v7.5
Актуальность: март 2023 г.

Индивидуальное обучение онлайн

Удостоверение о повышении квалификации

Вечный доступ к лекциям и конспекту

Программа дополнительного профессионального образования

Цель программы:
усовершенствовать навыки работы с MikroTik

В процессе обучения вы изучите:

схемы прохождения трафика на устройствах под управлением операционной системы MikroTik RouterOS;
все разделы IP Firewall (Filter, NAT, Mangle, RAW, Service Ports, Connections, Address Lists и L7 Protocols);
приоритизацию трафика с помощью разных видов очередей (Simple Queue, Interface Queue, Queue Tree).

Уровень первоначальной подготовки

Обучение подойдет инженерам, уже знакомым с оборудованием MikroTik на уровне не ниже MTCNA, оптимально — законченный курс «Администрирование сетевых устройств MikroTik».

Форма обучения:
заочная, дистанционная (онлайн)

Курс проводится полностью удаленно. Место жительства и гражданство значения не имеют.

Вы занимаетесь индивидуально в удобное для вас время.
Нет привязки к другим студентам или датам вебинаров.
Лабораторные работы проверяют и на вопросы отвечают автор курса — официальный тренер MikroTik и кураторы — сертифицированные инженеры MikroTik.

Дата начала и общая продолжительность обучения

Программа рассчитана на 85 академических часов.
На ее освоение (период обучения) дается 56 календарных дней.
Дата начала обучения устанавливается в индивидуальном порядке, по согласованию с обучающимся.
После успешного завершения обучения, у вас останутся навсегда видеолекции и конспект.

Темы курса:

Схемы прохождения трафика

Все разделы IP Firewall

Приоритизация трафика (QoS)

Подробное содержание курса по модулям

Подробное описание программы дополнительного образования, оформленное в соответствии с требования Министерства образования РФ (.pdf, 826 КБ) — скачать тут.

Зеленым цветом выделены темы, которых нет в официальной программе MTCTCE

Отслеживание прохождения соединения

Connection Tracker
Возможные проблемы при использовании Connection Tracker, 2 WAN и IP-телефонии

Фильтры

Что не умеет брандмауэр MikroTik
Основы сетевой и информационной безопасности
Цепочки (по умолчанию и настроенные вручную)
Обзор всех видов действий (actions)
Обзор наиболее часто используемых правил (conditions)
Bridge Firewall
Брандмауэр в реальной жизни
Гостевая сеть
DMZ
FastTrack
Доступ после перебора портов
Распространенные атаки
RAW-Filter
Защита от сканирования портов
Защита от DoS-атаки
Доступ к SSH после перебора портов
Layer-7 Filter
Блокировка сайтов, торрентов и Tor
Настройка правил для оптимизации производительности
Поиск ошибок в файрволе

NAT

Цепочки (по умолчанию и настроенные вручную)
Обзор всех видов действий (actions)
Обзор наиболее часто используемых правил (conditions)
Проброс портов и частые ошибки
Netmap
Hairpin NAT
NAT helpers
NAT и IP-телефония
NAT, 2 WAN и IP-телефония

Таблица правил для манипуляции с пакетами (mangle)

Цепочки (по умолчанию и настроенные вручную)
Обзор всех видов действий (actions)
Обзор наиболее часто используемых правил (conditions)
Примеры сложных условий (conditions) (вкладки "advanced" и "extra")
Распространенные ошибки
Лучшие практики по маркировке трафика
Маркировка трафика для IP-телефонии
Маркировка маршрутов

uPNP

Курсовая работа

MTCTCE лабораторная работа><meta itemprop=

Схема сети

Для доступа к маршрутизатору из Интернета должен быть разрешен только определенный входящий трафик (SSH, WinboBox и др.). Любой другой трафик должен блокироваться.
Доступ по SSH из Интернета должен быть возможен только после того, как к маршрутизатору в течении одной минуты попробуют подключится по портам: 1234, 2345, 3456. Именно в этой последовательности.
Все DNS запросы должны обрабатываться только через DNS-сервер, указанный на маршрутизаторе, даже если в настройках компьютера указан другой DNS-сервер. При этом компьютер должен думать, что ему отвечает сервер, указанный в настройках.
Маршрутизатор должен быть защищен от атак. Во всех случаях, если это возможно IP-адрес с которого идет атака должен заноситься в черный список и блокироваться.
- Поиск открытых портов для дальнейшей попытки взлома устройств.
- DDoS-атаки через отражение (DNS Amplification).
- DDoS-атаки TCP SYN-flood.
- DDoS-атаки TCP http-flood.
- Другие виды DDoS атак.
- Попытка подбора пароля (brute-force атака) SSH.
В сети должна использоваться демилитаризованная зона (DMZ - Demilitarized Zone). В нее должен быть вынесен web-сервер.
В случае, если отражение атаки занимает ресурсы маршрутизатора, то затрачиваемые ресурсы должны быть минимизированы.
В сети должна использоваться беспроводная гостевая сеть. Клиентам гостевой сети не должны быть доступны ресурсы локальной сети и наоборот.
В целях предотвращения взлома сервер IP-телефонии извне должен быть доступен только для VPN-клиентов.
Правила должны быть не просто расставлены в правильном порядке, но еще и должна использоваться возможность перехода с одного правила на другое минуя лишние правила, чтобы не тратить на их обработку ресурсы процессора маршрутизатора. В зависимости от размера пакета при прохождении пакета через 25 правил файервола производительность может снизиться от 2-х до 10 раз. Указанная конфигурация подразумевает большое количество правил, которые могут существенно снизить нагрузку на маршрутизатор. Например, для RB750Gr3 при использовании пакетов размером 1518 байт без файервола скорость будет 1972 Мбит/с, а в случае прохождения через 25 правил файервола 1128 Мбит/с. При использовании пакетов размером 64 байта без файервола скорость будет 530 Мбит/с, а в случае прохождения через 25 правил файервола всего 48 Мбит/с.

Необходимо настроить правила использования интернет-канала шириной 20 Мбит/с. При настройке надо использовать «Queue Tree».На случай максимальной загрузки канала максимальный приоритет должен иметь управляющий трафик (WinBox, SSH).

1. Трафик IP-телефонии должен иметь приоритет перед всем остальным трафиком без учета управляющего трафика. При этом надо учитывать, что сервер телефонии периодически загружает большое количество обновлений. Поэтому нельзя использовать приоритезацию по IP-адресу сервера, т. к. в таком случае большой приоритет получит и лишний трафик, который может выдавить голосовой трафик.
2. Трафик между локальной сетью и DMZ не должен иметь ограничений по скорости.
3. Если канал использует одно устройство из основной сети, то ему доступна вся скорость полностью.
4. Если из основной сети подключаются второе и последующее устройства, то скорость делится между ними пропорционально запросам. То есть, если одно устройство просит 10 Мбит/с, а другое 3 Мбит/с, то скорость так и распределяется. Если каждое подключенное устройство запрашивает по 20 Мбит/с, то скорость делится между ними поровну.
5. В сети есть VIP-пользователи: директор и главный бухгалтер. В самом плохом случае им должно быть доступно не менее 2 Мбит/с каждому.
6. Если канал используют устройства из гостевой сети, то на все подключенные устройства доступно не более 5 Мбит/с. При этом должна быть доступна возможность кратковременно превысить этот лимит с пиком до 10 Мбит/с.
7. Если за канал конкурируют устройства из гостевой и основной сети, то:
  - Устройства основной сети могут занять весь канал, когда нет запросов от устройств гостевой сети.
  - Устройства гостевой сети получают скорость в соответствии со своими запросами, но не более 2 Мбит/с на всех.

Скриншоты из личного кабинета

Примеры видеолекций

Примеры уроков

Информация о правах на образовательную деятельность и выдаваемых документах

ООО «Курсы по ИТ.рф» единственный учебный центр, который выдает удостоверения о повышении квалификации сетевых инженеров в области профессиональной работы с оборудованием MikroTik.

Для обучающихся, предоставивших для зачисления документ о законченном среднем профессиональном или высшем образовании любого профиля (в том числе иностранного государства).

Выдаваемый документ: Удостоверение о повышении квалификации на защищенном бланке. Данные о документе заносятся в Федеральный реестр сведений об образовании (ФИС ФРДО). Подлинность документа можно проверить онлайн на сайте Рособрнадзора РФ.

Основание: Государственная лицензия РФ рег. № Л035−1 255−50/213 784, выданная распоряжением Министерства образования Московской области № РС/Л-47 от «22» апреля 2022 г.

Для обучающихся, не имеющих законченного среднего профессионального/высшего образования, либо по желанию обучающегося, не зависимо от уровня образования.

Выдаваемый документ: сертификат об успешном завершении обучения от образовательного проекта «Курсы по ИТ.рф».

Основание: патент на дополнительное образование взрослых.

Стоимость обучения по программе ДПО
«Настройка файрвола и приоритизация трафика на MikroTik»

25000 руб. (450 $)

Оплата картами банков РФ

а также Qiwi, Альфа-Клик и пр.

ОПЛАТИТЬ КУРС

Оплата от юр. лица или ИП

с расчетного счета

ПОЛУЧИТЬ СЧЕТ НА ОПЛАТУ

Рассрочка Тинькофф

без переплаты и первоначального взноса

ЗАПРОСИТЬ УСЛОВИЯ

Оплата не из РФ в USD

Доступен перевод на выпущенную не в РФ карту MasterCard

по номеру счета IBAN или по номеру карты.
через сервис paysend.com (страна получателя — Беларусь, валюта USD)

Обязательно сообщите о платеже support@kursy-po-it.ru.

Гарантия возврата 100% оплаты

в течение 30 дней после покупки, если вы решите отказаться от обучения. Без доп. условий и заявлений.

Вы можете вернуть 13% от затрат на обучение

если оформите налоговый вычет при подаче декларации 3-НДФЛ

Отзывы из нашей группы Вконтакте:

В процессе изучения курса приходит окончательное понимание, что происходит с трафиком внутри маршрутизатора, как правильно настроить элементы сетевого экрана и приоритизацию трафика и почему их нужно настраивать именно так.
Александр Обухов
Очень много узнал об NAT и атакующих угрозах, таких как: Dos, SYN-flood атаки. В курсе показано как с ними борются. Больше всего понравился модуль «Модуль 2. Брандмауэр», темы: «Тема 2. Фильтр», Тема 3. NAT. До этого курса проходил еще несколько, но этот оказался самым сложный и тем самым интересный.
Виталий Ваганов
Начинаем с простого, заканчиваем полностью настроенным роутером в очень сложной конфигурации. Потом можно брать полученную конфу и применять ее в жизни. Прокачал я свои скиллы очень хорошо. И смог у клиента решить одну задачу, которую не мог долго решить. Понимание NAT'а из курса прямо выручило. Одним словом, очень рекомендую.
Игорь Нагорный

Автор курса: сертифицированный тренер MikroTik

Дмитрий Скоромнов

Практикующий сетевой инженер
с опытом >15 лет
Постоянный спикер на MikroTik User Meeting
Инженер связи с высшим техническим образованием
Автор учебных программ и преподаватель с 2011 года
Единственный тренер MikroTik, получивший государственную лицензию РФ на образовательную деятельность.

Сравнение программы ДПО «Настройка файрвола и приоритизация трафика на MikroTik» с тренингами MTCTCE

Сравнение сделано именно с очными тренингами, потому что аналогичного онлайн-курса нет.

ООО «Курсы по ИТ.рф» единственный учебный центр, который выдает удостоверения о повышении квалификации сетевых инженеров в области профессиональной работы с оборудованием MikroTik. На знания и наши официальные документы об образовании никакие санкции не распространяются.

По требованию вендора, официальный сертификат можно получить, только пройдя экзамен после очного курса при личном присутствии тренера.
В связи с санкциями, тренерские сертификаты MikroTik в РФ заморожены на неопределенное время (но не отозваны). В России на данный момент нельзя сдать экзамен и получить сертификат от MikroTik.

Продолжительность

~64 часа (85 ак.ч. = 14 ак.ч. лекций + 70 ак.ч. примерное время выполнения практических заданий и тестов)

~26 часов на все: теорию, практику, вопросы тренеру, экзамен… и перекусы.

Лабораторные работы

Позволяют освоить и закрепить навыки настройки для реальной работы

Дают только общее представление о возможностях оборудования

Консультации тренера

56 дней на личные консультации и проверку всех заданий курса

3 дня, на тренинге, в живой очереди с другими участниками

Повторение пройденного

Официальный сертификат MikroTik

Удостоверение о
повышении квалификации