+ Responder ao Tópico



  1. #1

    Smile Porque marcar no mangle marca-se primeiro a conexão e só depois marcar o pacote?

    Salve companheiros!

    Recentemente fiz o curso com o pessoal da FS, Magdiel e Juliano.

    Foi abordado o mangle e eles passaram pra gente a marcação do mangle da seguinte forma:

    Marca-se direto o pacote, sem marcar a conexão antes.

    Mas nesse e em outros fóruns percebi que é de praxe marcar a conexão e só depois utilizar essa marcação para marcar o pacote.

    Qual a real diferença?

    Abraços a todos!

  2. #2
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Realmente só assim para conhecer o nível técnico destes "pseudo" profissionais, onde o comprometimento dos mesmos é apenas com seus bolsos.

    Vamos lá...

    Uma conexão é uma via de mão dupla, ou seja, ocorre em ambos os sentidos. Marcando a conexão, significa que todos os pacotes, em ambos os sentidos serão marcados, ponto. O processo será bem menos oneroso para o firewall, uma vez que não terá que analisar nenhum pacote desta conexão, simplesmente marcar, já que a conexão está com a "ordem implicita" de marcar tudo que passe por ela.

    Tudo que pode facilitar e simplificar em um sistema, principalmente os que "rodam" sob hardware sem muitos recursos de processamento, é boa prática.

    Em algumas situações, possuímos protocolos que não são orientados a conexão, e estes sim, não existem necessidade da tentativa de marcar conexão, o que não faria sentido. Mas para serviços, principalmente os baseados em TCP, a boa prática recomenda sim, a marcação da conexão.

  3. #3

    Padrão

    valeu pela resposta sérgio, entedi direito, seria economia de hardware e melhor marcação dos pacotes correto?

    realmente achei estranho no treinamento e questionei a eles a marcação da conexão e foi-me dito que não havia necessidade.

    Bom se não há necessidade, pra que existiria?

    abraços

  4. #4
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por anarchist Ver Post
    valeu pela resposta sérgio, entedi direito, seria economia de hardware e melhor marcação dos pacotes correto?
    Correto.

    Citação Postado originalmente por anarchist Ver Post
    realmente achei estranho no treinamento e questionei a eles a marcação da conexão e foi-me dito que não havia necessidade.
    Quando ocorrerem estas respostas "pérolas" vocês devem questionar onde está documentado isso... "pedir as provas". Esse pessoal sai por ai falando coisas, sem nunca terem lido nem a documentação do Mikrotik ROS, quem dirá a documentação do NetFilter.

    Citação Postado originalmente por anarchist Ver Post
    Bom se não há necessidade, pra que existiria?




    abraços

    Justamente, esses caras que desenvolvem módulos que operam diretamente no núcleo do sistema, podem até "jogar pedra na lua", mas em termos técnicos e no desenvolvimento dos seus códigos sabem o que fazem e não é um gerson preguiçoso que irá provar o contrário (ainda mais quando esse gerson não consegue nem uma resposta satisfatória).

  5. #5

    Padrão

    Nunca tinha entendido porque um amigo um tempo atráz, me passou o mangle marcando somente conexoes !

    / ip firewall mangle
    add chain=prerouting action=jump jump-target=tcp-services connection-state=new \
    protocol=tcp comment="Classificando Protocolos" disabled=no
    add chain=prerouting action=jump jump-target=udp-services connection-state=new \
    protocol=udp comment="" disabled=no
    add chain=prerouting action=jump jump-target=other-services \
    connection-state=new comment="" disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=ftp \
    passthrough=no src-port=1024-65535 dst-port=20-21 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=ssh \
    passthrough=no src-port=513-65535 dst-port=22 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=telnet \
    passthrough=no src-port=1024-65535 dst-port=23 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=smtp \
    passthrough=no src-port=1024-65535 dst-port=25 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=dns \
    passthrough=no src-port=53 dst-port=53 protocol=tcp comment="" disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=dns \
    passthrough=no src-port=1024-65535 dst-port=53 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=http \
    passthrough=no src-port=1024-65535 dst-port=80 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=pop3 \
    passthrough=no src-port=1024-65535 dst-port=110 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=auth \
    passthrough=no src-port=1024-65535 dst-port=113 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=nntp \
    passthrough=no src-port=1024-65535 dst-port=119 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=imap \
    passthrough=no src-port=1024-65535 dst-port=143 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=snmp \
    passthrough=no src-port=1024-65535 dst-port=161-162 protocol=tcp \
    comment="" disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=https \
    passthrough=no src-port=1024-65535 dst-port=443 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=smtps \
    passthrough=no src-port=1024-65535 dst-port=465 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=imaps \
    passthrough=no src-port=1024-65535 dst-port=993 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=pop3s \
    passthrough=no src-port=1024-65535 dst-port=995 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=pptp \
    passthrough=no src-port=1024-65535 dst-port=1723 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=kgs \
    passthrough=no src-port=1024-65535 dst-port=2379 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=proxy \
    passthrough=no src-port=1024-65535 dst-port=3128 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=win-ts \
    passthrough=no src-port=1024-65535 dst-port=3389 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=emule \
    passthrough=no src-port=1024-65535 dst-port=4242-4243 protocol=tcp \
    comment="" disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=overnet \
    passthrough=no src-port=4661-4662 dst-port=1024-65535 protocol=tcp \
    comment="" disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=emule \
    passthrough=no src-port=4711 dst-port=1024-65535 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=vnc \
    passthrough=no src-port=1024-65535 dst-port=5900-5901 protocol=tcp \
    comment="" disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=irc \
    passthrough=no src-port=1024-65535 dst-port=6667-6669 protocol=tcp \
    comment="" disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=bittorrent \
    passthrough=no src-port=1024-65535 dst-port=6881-6889 protocol=tcp \
    comment="" disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=http \
    passthrough=no src-port=1024-65535 dst-port=8080 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=winbox \
    passthrough=no src-port=1024-65535 dst-port=8291 protocol=tcp comment="" \
    disabled=no
    add chain=tcp-services action=mark-connection new-connection-mark=other-tcp \
    passthrough=no protocol=tcp comment="" disabled=no
    add chain=udp-services action=mark-connection new-connection-mark=dns \
    passthrough=no src-port=1024-65535 dst-port=53 protocol=udp comment="" \
    disabled=no
    add chain=udp-services action=mark-connection new-connection-mark=ntp \
    passthrough=no src-port=1024-65535 dst-port=123 protocol=udp comment="" \
    disabled=no
    add chain=udp-services action=mark-connection new-connection-mark=l2tp \
    passthrough=no src-port=1024-65535 dst-port=1701 protocol=udp comment="" \
    disabled=no
    add chain=udp-services action=mark-connection new-connection-mark=emule \
    passthrough=no src-port=1024-65535 dst-port=4665 protocol=udp comment="" \
    disabled=no
    add chain=udp-services action=mark-connection new-connection-mark=emule \
    passthrough=no src-port=1024-65535 dst-port=4672 protocol=udp comment="" \
    disabled=no
    add chain=udp-services action=mark-connection new-connection-mark=emule \
    passthrough=no src-port=4672 dst-port=1024-65535 protocol=udp comment="" \
    disabled=no
    add chain=udp-services action=mark-connection new-connection-mark=overnet \
    passthrough=no src-port=1024-65535 dst-port=12053 protocol=udp comment="" \
    disabled=no
    add chain=udp-services action=mark-connection new-connection-mark=overnet \
    passthrough=no src-port=12053 dst-port=1024-65535 protocol=udp comment="" \
    disabled=no
    add chain=udp-services action=mark-connection new-connection-mark=skype \
    passthrough=no src-port=36725 dst-port=1024-65535 protocol=udp comment="" \
    disabled=no
    add chain=udp-services action=mark-connection new-connection-mark=other-udp \
    passthrough=no connection-state=new protocol=udp comment="" disabled=no
    add chain=other-services action=mark-connection new-connection-mark=ping \
    passthrough=no protocol=icmp icmp-options=8:0-255 comment="" disabled=no
    add chain=other-services action=mark-connection new-connection-mark=gre \
    passthrough=no protocol=gre comment="" disabled=no
    add chain=other-services action=mark-connection new-connection-mark=other \
    passthrough=no comment="" disabled=no
    add chain=prerouting action=mark-connection \
    new-connection-mark=all-p2p-conection passthrough=yes p2p=all-p2p \
    comment="Controle dos P2P" disabled=no
    add chain=prerouting action=mark-connection \
    new-connection-mark=all-p2p-conection passthrough=yes comment="" \
    disabled=no
    add chain=prerouting action=mark-packet new-packet-mark=all-p2p-packet \
    passthrough=yes connection-mark=all-p2p-conection comment="" disabled=no

  6. #6

    Padrão

    dessa forma o mangle não trabalha direito...

    alias, o mangle trabalha direito sim, conta tudo bonito.

    mas usar as marcações dele no filter, nat, queue tree não rola.