Mikrotik cihazınızda bağlantı başına bant genişli sınırlamak istiyorsanız, aşağıda bulunan komutları yerel ağınıza uygun olarak düzenleyerek terminal ekranına yapıştırabilirsiniz. /queue typeadd kind=pcq name=pcq-upload-custom pcq-classifier=src-address pcq-rate=5Madd kind=pcq name=pcq-download-custom pcq-classifier=dst-address pcq-rate=5M/queue simpleadd name=Throttle-Each queue=pcq-upload-custom/pcq-download-custom target=192.168.88.0/24
Şayet iki servis sağlayıcı kullanıyorsanız, pcc metodu ile Mikrotik cihazlarınızda yük dengeleme yaparak yerel ağınızdaki istemcilere daha verimli bir bant genişliği sağlayabilirsiniz. Yukarıda bulunan örnek topoloji üzerinden gidersek: /ip addressadd address=192.168.88.1/24 network=192.168.88.0 broadcast=192.168.88.255 interface=Localadd address=192.168.10.2/24 network=192.168.10.0 broadcast=192.168.10.255 interface=WAN1add address=192.168.20.2/24 network=192.168.20.0 broadcast=192.168.20.255 interface=WAN2 Cihazı dns sunucusu olarak kullanalım: /ip dns set allow-remote-requests=yes cache-max-ttl=1w cache-size=5000KiB max-udp-packet-size=512 servers=8.8.4.4,8.8.8.8 Paketleri işaretlemek ve yönlendirmek için mangle kurallarına ihtiyacımız var. /ip firewall mangleadd chain=input in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_connadd chain=input in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_connadd chain=output connection-mark=WAN1_conn action=mark-routing new-routing-mark=to_WAN1add chain=output connection-mark=WAN2_conn action=mark-routing new-routing-mark=to_WAN2add chain=prerouting dst-address=192.168.10.0/24 action=accept in-interface=Localadd chain=prerouting dst-address=192.168.20.0/24 action=accept in-interface=Localadd chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=WAN1_conn passthrough=yesadd chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=WAN2_conn passthrough=yesadd chain=prerouting connection-mark=WAN1_conn in-interface=Local action=mark-routing new-routing-mark=to_WAN1add chain=prerouting connection-mark=WAN2_conn in-interface=Local action=mark-routing new-routing-mark=to_WAN2 Son olarak routing mark ile birlikte yeni route tanımlarını işledikten sonra ağımızı maskeleyelim. /ip routeadd dst-address=0.0.0.0/0 gateway=192.168.10.1 routing-mark=to_WAN1 check-gateway=pingadd dst-address=0.0.0.0/0 gateway=192.168.20.1 routing-mark=to_WAN2 check-gateway=pingadd dst-address=0.0.0.0/0 gateway=192.168.10.1 distance=1 check-gateway=pingadd dst-address=0.0.0.0/0 gateway=192.168.20.1 distance=2 check-gateway=ping/ip firewall natadd chain=srcnat out-interface=WAN1 action=masqueradeadd chain=srcnat out-interface=WAN2 action=masquerade Hepsi bu kadar. Örnekte iki internet devresi var. Ama ikiden fazla kullanılıp kuralları buna göre revize edebilirsiniz.
Stateful ve stateless güvenlik duvarları arasındaki temel farkı, birinin paket durumların izleyebilecekken diğerinin izleyememesi olarak özetleyebiliriz. Haricinde, her iki güvenlik duvarı türü de aynı şekilde çalışır, paket başlıklarını inceler ve trafiğin önceden tanımlanmış kurallara göre geçerli olup olmadığını belirlemek için içerdikleri bilgileri kullanır. Stateful güvenlik duvarları, stateless güvenlik duvarlarının belirleyemediği çeşitli tehditlerin belirlemesini sağlar. Aşağıda bulunanlar dahil olmak üzere, bazı saldırı türleri hedeflerine ulaşmak için legitimate (geçerli) paketleri kötü niyetli olarak kullanır TCP Taramaları: Bazı taramalar, TCP paketini sıra dışı gönderir ve yanıtı gözlemler. Örnekler arasında ACK ve FIN taramaları bulunur. DDoS Saldırıları: DDoS saldırılarında genellikle geçerli paketleri kullanılır. Bunlarla birlikte saldırgan, hedef uygulamayı veya sistemi boğmak için büyük miktarlarda paket gönderimi sağlamaktadır. Her iki örnek saldırıda, stateless bir güvenlik duvarı paketlerin geçmesine izin verecektir. Saldırıyı belirlemek, yalnızca stateful bir güvenlik duvarının sahip olacağı bağlamı gerektirir. Satın almış olduğunuz Mikrotik cihazlar varsayılan olarak “Stateless” kurallar ile birlikte gelecektir. Bu nedenle cihazınızı bir stateful güvenlik duvarı olarak kullanacaksanız, mutlaka tüm konfigürasyonu silmeniz gerekecektir. Mikrotik Stateful Güvenlik Duvarı Komutları: /ip firewall filteradd action=accept chain=forward comment=”defconf: accept in ipsec policy” ipsec-policy=in,ipsecadd action=accept chain=forward comment=”defconf: accept out ipsec policy” ipsec-policy=out,ipsecadd action=accept chain=input comment=”defconf: accept established,related,untracked” connection-state=established,related,untrackedadd action=drop chain=input comment=”defconf: drop invalid” connection-state=invalidadd action=accept chain=input…
