[转帖]实作RouterOS的HTB | MikroTik RouterOS-中

转载：https://www.mobile01.com/topicdetail.php?f=110&t=3269263

[前言]
RouterOS(以下简称ROS)HTB这主题对小弟来说有点深，所以还没有完全准备好发表。
不如小弟再来补充一些Mangle的细节好了
再次的强调，Mangle是帮我们的封包加上一些标示，而ROS后可以依据这些标示再做处理。
拿医院来说好了，如果病人的手环标错名字，那后续您也是知道的...

[精简您的规则]
在Firewall中如果规则越少的话，对ROS的负担就越少。
所以除非是要做很细的分类，否则同类型的服务可以标在一起。
之前曾有网友指出可以不需特别标示上传与下载就可以区分上下行的流量。
可惜小弟实作的时候试不出来，所以还要请网友再分享如何做。
如果可以不用特别去标示上下行的流量，这样对于标示的规则就可以大幅的减少，起码少一半哩！

另外之前有网友提及：Mangle使得ROS的CPU loading飙高。
小弟使用的是RB450G，CPU为680MHz，在建立91条Mangle的情况下，CPU的loading都还好。
以下是CPU的记录，可以看出CPU的loading都在40%以下：

接下来就实际举个实际的例子说明如何精简规则：
小弟的VPN服务有PPTP、OPEN VPN、SSTP等，小弟未来希望一起控管VPN服务。
所以可以将这些服务的不同封包都标示成"相同的连结名称"：vpn_con_in。
然后再用一个规则来将vpn_con_in"标示封包名称"为VPN_in。
同理VPN_out也可以依样画葫芦。

另一个方便的功能：Address List。
在Address Lists里可以建立一些位址列表，这在Firewall中处处可以用的到。
比如说小弟有两台IP CAM，我想要对这两台IPCAM做特别的标记。
那么我就可以先在Address Lists增加一个位址列表：CAM，输入位址。

然后在标记的时候直接将位址列表引入即可。
这样的好处是未来可以方便的修改IP，甚至还可以利用Script动态建立位址列表。

[验证您的标记]
标记了封包，以后不是只要有流量就ok了，您还要进一步的去验证这标记是否正确。
小弟的方法是在家里面用另一台AP拨号取得另一组外部IP，然后去模拟由WAN连入的情况。
另外还要验证在区网连线时，是否也会有流量。
我们一般家用使用者做QoS大抵都是针对WAN而不是针对LAN，所以这也要注意。
小弟实证，若依我前一篇的方式来标记，并不会包含来自LAN的流量。
原因可能是因为我指定了in-interface与out-interface都是WAN的关系。

在验证流量时可以善用ROS的统计功能，可以先清空统计数值。
皆下来连线看看流量是否正确，有时明明正在上传，但却只有下载有流量，这就有问题了。
另外连线是双向的，所以有时上传时，下载也会有少许流量，这是正常的不是错误。

另一个重要的功能是Connections。
这里会列出所有的连线，但数量很多不易观察，所以可以使用Filter做条件的筛选。
例如我想要追踪对某台主机的P2P标示是否正确，我就可以这样做：

若您的目标是标记所有的封包，那么标记规则的最后可以新增一条log来检查。

如果您前面已经确实的标记了所有的封包，而且标记完以后都不再将封包往以下规则传递。
您的log规则流量应该是0。

[别忘了IPv6]
如果您有启用IPv6的话，别忘了也要Mangle一下，方法与IPv4完全相同。

[参考资料]
1. Manual:IP/Firewall/Mangle
2.鸟哥的Linux私房菜：9.5 NAT 伺服器的设定
3.关于Mangle的一些解释
4. 【原创之ROS】关于标记连接、标记路由时的细节问题
5. http://wopliu.blog.163.com/blog/static/193900620116991632815/
6.电脑茶包Blog：在RouterOS中建立台湾地区IP列表
7. ros标记细节解读(ros mangle)