Mikrotik routerOS 的通透模式 transparent mode
人不是機器,一定得休息,網路設備,鐵打的,日以繼夜,吃電不喝水,難道真打不死?不是不是!撐得久點就是,時間到了,人該花的錢、人該做的工,跑不掉。
話說這次等著用電郵信箱,還等了很久的是 老 闆 本 人 ( 驚! ),這麼巧,偏偏機器老死在手邊一堆工作在趕的時侯,一開始還以為是伺服器的空間滿了,任務結束之後立馬去看了機器,不是空間滿了耶!!!奈啊捏!!暗暗叫( 罵 了 好 幾 聲 髒 話 )苦!那就不是一時半刻可以解決的了,查了查,辛勤工作10年以上的防火牆腦子燒了(CPU使用率100%),雖然看起來還能幫你指路,但是指的不好,還會放空(登入沒作幾個動作就給你一片空白的操作頁面),囧,「科技,始終沒有人性」,總在你最需要它的時侯拋棄你。一下子搞不定,先找高手,廠商的工程師人很好,登進去看了下,原來已經是前2代的機器,早就停產(順便表揚了一下勞苦功高的機器),閻王沒放手的,妙手果然還是留不住,還好手上有台新機,平時除了 NAT 用不到進階的功能,雖然有處置的方向,這新朋友和我也不是很熟啊~~(其實網路的東東和我都不熟啊~~嗚嗚嗚、哈哈哈),想讓新機上線還得先做些實驗,想就苦手,反正死馬當活馬醫,救得回來可以少花很多錢,這攤生意穩賺不賠,試試唄,萬分感謝老闆的耐性。
工作環境:
Mikrotik 路由器(routerOS)
應用伺服器
變動最少、最好的設定方式是以不變應萬變,設一台一般般、一模模一樣樣的防火牆來代替原本已經 RIP 的機器就是我的方針,依舊採用通透模式讓伺服器繼續服務。
拜了好一下股溝大神,還真難找到相符的文件,很難就表示得花很多時間找,再加很多時間拜讀不能達成目標的資料,總算找著好心人放了文件在網站上,圖說都有,超感動。
routerOS 上通透模式就是橋接( bridge ),再加上封包過濾( filter )。
特別的是橋接的時候不能用預設的 NAT 橋接設定,所以用了最後2個介面(eth4, eth5),我搞不懂,但是我懂得抄別人成功的。
在防火牆上把要提供的服務開放,透過封包過濾把服務的埠開通。
先在自已的桌上設好,試過,可以通,調成機器所在的環境設定,放到機櫃裏,
Mmmmmmm……………………,連不上。最遠的距離莫過於機器就在面前卻怎麼也連不上。
讓設定生效:
只記得之前來裝機的工程師說,要讓路由器設定馬上生效得重啟上層的網路交換器 ( switch ),一樣,我搞不懂,但是我懂得抄之前成功過的,因為實在也不知道要找誰,還好以之前的經驗來看,等一些時間也行。
讓子彈飛一下…………………………………………………………………………………………………
飛了好久,還好子彈打中的了
白目
驚險
感恩
開心
收工
——————— 網上找到的設定範例 ———————
/ interface bridge
add name="bridge1"
/ interface bridge port
add interface=ether4 bridge=bridge1
add interface=ether5 bridge=bridge1
/ interface bridge settings
set use-ip-firewall=yes
/ ip firewall mangle
add chain=prerouting protocol=tcp dst-port=80 action=mark-connection new-connection-mark=http_conn passthrough=yes
add chain=prerouting connection-mark=http_conn action=mark-packet new-packet-mark=http passthrough=no
add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yes
add chain=prerouting connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=no
add chain=prerouting action=mark-connection new-connection-mark=other_conn passthrough=yes
add chain=prerouting connection-mark=other_conn action=mark-packet new-packet-mark=other passthrough=no
/ queue simple
add name="main" target-addresses=10.0.0.12/32 max-limit=256000/512000
add name="http" parent=main packet-marks=http max-limit=240000/500000 priority=1
add name="p2p" parent=main packet-marks=p2p max-limit=64000/64000 priority=8
add name="other" parent=main packet-marks=other max-limit=128000/128000 priority=4
話說這次等著用電郵信箱,還等了很久的是 老 闆 本 人 ( 驚! ),這麼巧,偏偏機器老死在手邊一堆工作在趕的時侯,一開始還以為是伺服器的空間滿了,任務結束之後立馬去看了機器,不是空間滿了耶!!!奈啊捏!!暗暗叫( 罵 了 好 幾 聲 髒 話 )苦!那就不是一時半刻可以解決的了,查了查,辛勤工作10年以上的防火牆腦子燒了(CPU使用率100%),雖然看起來還能幫你指路,但是指的不好,還會放空(登入沒作幾個動作就給你一片空白的操作頁面),囧,「科技,始終沒有人性」,總在你最需要它的時侯拋棄你。一下子搞不定,先找高手,廠商的工程師人很好,登進去看了下,原來已經是前2代的機器,早就停產(順便表揚了一下勞苦功高的機器),閻王沒放手的,妙手果然還是留不住,還好手上有台新機,平時除了 NAT 用不到進階的功能,雖然有處置的方向,這新朋友和我也不是很熟啊~~(其實網路的東東和我都不熟啊~~嗚嗚嗚、哈哈哈),想讓新機上線還得先做些實驗,想就苦手,反正死馬當活馬醫,救得回來可以少花很多錢,這攤生意穩賺不賠,試試唄,萬分感謝老闆的耐性。
工作環境:
Mikrotik 路由器(routerOS)
應用伺服器
變動最少、最好的設定方式是以不變應萬變,設一台一般般、一模模一樣樣的防火牆來代替原本已經 RIP 的機器就是我的方針,依舊採用通透模式讓伺服器繼續服務。
拜了好一下股溝大神,還真難找到相符的文件,很難就表示得花很多時間找,再加很多時間拜讀不能達成目標的資料,總算找著好心人放了文件在網站上,圖說都有,超感動。
routerOS 上通透模式就是橋接( bridge ),再加上封包過濾( filter )。
特別的是橋接的時候不能用預設的 NAT 橋接設定,所以用了最後2個介面(eth4, eth5),我搞不懂,但是我懂得抄別人成功的。
在防火牆上把要提供的服務開放,透過封包過濾把服務的埠開通。
先在自已的桌上設好,試過,可以通,調成機器所在的環境設定,放到機櫃裏,
Mmmmmmm……………………,連不上。最遠的距離莫過於機器就在面前卻怎麼也連不上。
讓設定生效:
只記得之前來裝機的工程師說,要讓路由器設定馬上生效得重啟上層的網路交換器 ( switch ),一樣,我搞不懂,但是我懂得抄之前成功過的,因為實在也不知道要找誰,還好以之前的經驗來看,等一些時間也行。
讓子彈飛一下…………………………………………………………………………………………………
飛了好久,還好子彈打中的了
白目
驚險
感恩
開心
收工
——————— 網上找到的設定範例 ———————
/ interface bridge
add name="bridge1"
/ interface bridge port
add interface=ether4 bridge=bridge1
add interface=ether5 bridge=bridge1
/ interface bridge settings
set use-ip-firewall=yes
/ ip firewall mangle
add chain=prerouting protocol=tcp dst-port=80 action=mark-connection new-connection-mark=http_conn passthrough=yes
add chain=prerouting connection-mark=http_conn action=mark-packet new-packet-mark=http passthrough=no
add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yes
add chain=prerouting connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=no
add chain=prerouting action=mark-connection new-connection-mark=other_conn passthrough=yes
add chain=prerouting connection-mark=other_conn action=mark-packet new-packet-mark=other passthrough=no
/ queue simple
add name="main" target-addresses=10.0.0.12/32 max-limit=256000/512000
add name="http" parent=main packet-marks=http max-limit=240000/500000 priority=1
add name="p2p" parent=main packet-marks=p2p max-limit=64000/64000 priority=8
add name="other" parent=main packet-marks=other max-limit=128000/128000 priority=4
留言
張貼留言