MTCTCE

Treinamento oficial Mikrotik
Modulo MTCTCE
(MikroTik Certified Traffic Control Engineer)
1- Introdução 1
Agenda
Treinamento das 08:30hs às 18:30hs
Coffe break as 16:00hs
Almoço as 12:30hs – 1 hora de duração
1- Introdução 2
Importante
 Curso oficial: Proibido ser filmado ou gravado.
 Celular: Desligado ou em modo silencioso.
 Perguntas: Sempre bem vindas.
 Internet: Evite o uso inapropriado.
 Aprendizado: Busque absorver conceitos.
 Evite conversas paralelas.

 Deixe habilitado somente a interface ethernet de
seu computador.
1- Introdução 3
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
1- Introdução 4
Objetivos do curso
Abordar todos os tópicos necessários para o
exame de certificação MTCTCE.
Prover um visão geral sobre os mecanismos
que o RouterOS oferece para controle de
tráfego.
1- Introdução 5
Winbox
Winbox é uma utilitário usado para acessar o
RouterOS via MAC ou IP.
Usuário padrão é “admin” e senha vazio.
1- Introdução 6
Primeiros passos
 Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
 Caso você não tenha o utilitário winbox no seu
computador faça o seguinte:
– Altere seu computador para “Obter endereço IP
automaticamente”.
– Abra o navegador e digite 192.168.88.1.
– No menu a esquerda clique na ultima opção (logout).
– Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.
1- Introdução 7
Resetando seu router
 Abra o winbox clique em
 Clique no endereço MAC ou IP.
 No campo Login coloque “admin”.
 No campo Password deixe em branco.
 Clique em connect.
 Nos Menus a esquerda clique em “New Terminal”.
 Com terminal aberto digite:
– system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.
1- Introdução 8
Identificando seu roteador
1- Introdução 9
Diagrama da rede
 Lembre-se de seu número: XY

1- Introdução 10
Conectando-se ao Ponto de acesso
Configuração da interface wireless
1- Introdução 11
Identificando as interfaces
 Identifique suas interfaces conforme a imagem abaixo.
1- Introdução 12
DHCP
 Numa rede de Arquitetura TCP/IP, todo computador
tem que possuir um endereço IP distinto.
 O DHCP (Dynamic Host Configuration Protocol ) é o
protocolo que provê um meio para alocar estes
endereços dinamicamente.
 No Mikrotik temos 3 tipos de DHCP.

– DHCP-SERVER
– DHCP-CLIENT
– DHCP-RELAY
1- Introdução 13
DHCP
 O servidor DHCP sempre escuta na porta UDP 67.
 O cliente DHCP sempre escuta na porta UDP 68
 Toda negociação inicial é feita através de broadcast.
 Os endereço de origem e destinos usados são 0.0.0.0

e 255.255.255.255 respectivamente.
 Portanto se você tiver algum tipo de filtro relacionado

a algum dos parâmetros acima citados poderá causar
mal funcionamento do DHCP.
1- Introdução 14
Comunicação DHCP
1- Introdução 15
Comunicação DHCP
 DHCP Discovery
 src-mac=<client>, dst-mac=<broadcast>, protocol=udp, src-ip=0.0.0.0:68, dst-ip=255.255.255.255:67
 DHCP Offer
 src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp, src-ip=<DHCP-server>:67, dst-ip=255.255.255.255:67
 DHCP Request
 src-mac=<client>, dst-mac=<broadcast>, protocol=udp, src-ip=0.0.0.0:68, dst-ip=255.255.255.255:67
 DHCP Acknowledgement
 src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp, src-ip=<DHCP-server>:67, dst-ip=255.255.255.255:67
1- Introdução 16
Comunicação DHCP
IP = 10.1.1.1 IP = sem ip
MAC = AA:AA:AA:AA:AA:AA MAC = BB:BB:BB:BB:BB:BB
SCR DST
Port 68 67
SCR DST IP 0.0.0.0 255.255.255.255
Port 67 68
MAC BB:BB:BB:BB:BB:BB FF:FF:FF:FF:FF:FF
IP 10.1.1.1 255.255.255.255
MAC AA:AA:AA:AA:AA:AA FF:FF:FF:FF:FF:FF
SCR DST
Port 68 67
SCR DST
IP 0.0.0.0 255.255.255.255
Port 67 68
MAC BB:BB:BB:BB:BB:BB FF:FF:FF:FF:FF:FF
IP 10.1.1.1 255.255.255.255
MAC AA:AA:AA:AA:AA:AA FF:FF:FF:FF:FF:FF
1- Introdução 17
DHCP-CLIENT
 O DHCP-CLIENT irá tentar localizar um DHCP-SERVER
para que possa obter endereço de IP automaticamente.
 Adicione um DCHP-CLIENT em sua interface de wan.
1- Introdução 18
DHCP-SERVER
 Para criar um servidor de DHCP você precisa de:
1. Adicionar um endereço de IP na interface que irá rodar o DCHP-SERVER.
2. Executar o SETUP de DHCP-SERVER.
1- Introdução 19
Teste de conectividade
1. Pingar a partir da Routerboard o seguinte IP:172.25.X.254.
2. Pingar a partir do notebook o seguinte ip:
10.X.Y.1
3. Pingar a partir do notebook o seguinte endereço:
www.uol.com
4. Analisar os resultados.
1- Introdução 20
Outras Opções do DHCP Server
 Src.address - especifica o endereço do servidor caso exista mais de um
endereço na interface do DHCP.
 Delay Threshold - prioriza um servidor DHCP ao invés do outro(quanto

maior o delay, menor a prioridade).
 Add ARP For Leases - permite adicionar entradas ARP para as leases
quando a interface está em modo ARP=reply-only.
 Always Broadcast - permite comunicação com “falsos” clientes como

pseudo-bridges.
 Bootp Support - Suporte para clientes BOOTP
 Use RADIUS - Especifica se o servidor Radius será usado para designação

de leases dinâmicas.
1- Introdução 21
DHCP Networks
 No menu DHCP Networks você pode configurar várias
opções para uma determinada rede.
 Algumas das opções estão integradas ao RouterOS

e outraspodem ser implementadas manualmente.
 Informações adicionais podem ser obtidas em:

http://www.iana.org/assignments/bootp-dhcp-parameters
 O DHCP server é capaz de atribuir quaisquer uma

dessas opções especificadas na RCF acima.
 O DHCP client só pode receber informações

implementadas
1- Introdução 22
DHCP Options
Implementação de opções DHCP
– Subnet-Mask (option 1) - netmask
– Router (option 3) – gateway
– Domain-Server (option 6) - dns-server
– Domain-Name (option 15) – domain
– NTP-Servers (option 42) - ntp-server
– NETBIOS-Name-Server (option 44) - wins-server
1- Introdução 23
Opção DHCP customizada
 Passar um rota via DHCP (opção 121)
Rota: dst-address=10.1.0.0/16 gateway=10.2.2.2
1- Introdução 24
Opção DHCP customizada
 Passar um rota via DHCP (opção 121)
Rota: dst-address=10.1.0.0/16 gateway=10.2.2.2
1- Introdução 25
IP Address Pool
 O IP address pools é usado para definir uma range de endereços
para distribuição dinâmica (DHCP, PPP, Hotspot).
 Address pool não pode conter endereços já usados (como por exemplo
endereços estáticos)
 É possível se atribuir um pool através de endereços com barra / ou

intervalos com hifém -
 É possível se usar diversos pools juntos utilizando a opção “Next Pool”
1- Introdução 26
Como funciona o Address Pool
1- Introdução 27
Authoritative DHCP Server
 O modo Authoritative permite que o servidor
DHCP responda a clientes desconhecidos com uma
menssagem de DHCPNak e em seguida solicita que o
cliente reinicie o lease(neste caso o cliente somente
enviará pedidos broadcasts se o pedido unicast para o
servidor falhar ao renovar a lease).
 O modo Authoritative permite:

– Previnir a operação de falsos servidores DHCP.
– Adaptações mais rápidas as alterações feitas no servidor
DHCP.
1- Introdução 28
Authoritative DHCP Server
 Modos autoritativos:
– Yes: Responde imediatamente as requisições.
– No: Só ira responder a requisições de endereços

disponivéis no servidor.
– After 10s delay: Irá funcionar como o modo NO até 10

segundos da requisição e após este tempo funciona como o
modo YES.
– After 2s delay: Irá funcionar como o modo NO até 2

segundos da requisição e após este tempo funciona como o
modo YES.
1- Introdução 29
DHCP Lease
 Podemos acompanhar as
concessões do servidor de
DHCP no aba Leases.
 Quando colocamos um
entrada estática no lease
temos varias opções que
podem ser utilizadas na
manipulação para um
MAC específico.
1- Introdução 30
DHCP Alerts
 O RouterOS nos oferece uma
ferramenta para que
possamos identificar
servidores de DCHP que não
estão autorizados a funcionar
em um domínio de broadcast.
 Após detectar um servidor
não autorizado podemos
executar uma ação como por
exemplo enviar um e-mail
informando o administrador.
1- Introdução 31
DHCP Relay
 DHCP Relay é um proxy que é capaz de receber
requisições “DHCP discovery” e “DHCP request” e
reenviar estas requisições a um DHCP server.
 Só pode existir um DHCP relay entre o DHCP

server e o DHCP client.
 A comunicação do DHCP Server com relay não

necessita de endereço IP na interface relay, mas a
opção “local address” no relay deve conter o
mesmo endereço configurado no relay do
servidor.
1- Introdução 32
DNS Client e DNS Server
1- Introdução 33
DNS Client
 O modo DNS client é utilizado quando algum
serviço do roteador precisa resolver nomes,
tais como:
– Ping
– Traceroute
– Web-proxy
– Hotspot
1- Introdução 34
DNS Server (cache)
Ao habilitar o check-box “Allow Remote
Requests”, estaremos habilitando nosso
roteador como um servidor (cache) de DNS ou
seja poderemos apontar o IP do roteador
como um servidor de DNS.
 Servers: Servidores DNS a serem consultados.
 Allow-remore-requests=yes: habilita o roteador para
funcionar como DNS Cache.
 Cache-max-ttl: máximo tempo de vida do registro
guardado no cache.
 Cache-size (512-10240): tamanho máximo do cache
DNS em KiB;
Cache-used: tamanho usado pelo cache DNS;
1- Introdução 35
Adcionando entradas estáticas no DNS
Podemos adicionar entradas estáticas no
RouterOS tanto IPv4 quanto IPv6.
1- Introdução 36
Particularidades do DNS
 Caso você possua algum cliente PPP que esteja com a
opção use-peer-dns=yes fará com que o servidor primário
DNS seja alterado para o que for enviado pelo servidor PPP.
 Quando existem requisições remotas o RouterOS responde

as requisições TCP e UDP na porta 53.
 A partir da versão 4.7 os campos primary-dns e secondary-

dns foram substituidos pelo campo servers onde é possível
apontar até 30 servidores para consulta aleatória.
 A partir da versão 6.0 rc1 a mudança de servidor dns a ser

consultado só ocorre caso não aja resposta do servidor
consultado.
1- Introdução 37
Configuração básica
Configurando endereço de IP
Configurando mascara de sub-rede
Configurando DNS
Conectando seu router a um ponto de acesso
Configurando seu computador
Realizando testes de conectividade
1- Introdução 38
Configuração do roteador
Adicione os IPs nas interfaces
1- Introdução 39
Adicione a rota padrão
1- Introdução 40
 Adicione o servidor DNS
 Quando você checa a opção “Alow remote requests”, você
está habilitando seu router como um servidor de DNS.
1- Introdução 41
Configuração da interface wireless
1- Introdução 42
Configure seu Notebook
1- Introdução 43
 Pingar a partir da Routerboard o seguinte ip:172.25.X.254.
 Pingar a partir da Routerboard o seguinte endereço:
www.uol.com
 Pingar a partir do notebook o seguinte ip:
10.X.Y.1
 Pingar a partir do notebook o seguinte endereço:
www.uol.com
 Analisar os resultados.
1- Introdução 44
Corrigir o problema de conectividade
Diante do cenário apresentado quais soluções
podemos apresentar?
Adicionar rotas estáticas.

Utilizar protocolos de roteamento dinâmico.
Utilizar NAT(Network Address Translation).
1- Introdução 45
Adicionando uma regra de source nat
Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.
1- Introdução 46
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Após a confirmação de que tudo está
funcionando, faça o backup da routerboard e
armazene-o no notebook. Ele será usado ao
longo do curso.
1- Introdução 47
Faça um backup
 Clique no menu Files e depois em Backup para salvar
sua configurações.
 Arraste o arquivo que foi gerado para seu computador.
1- Introdução 48
Dúvidas e perguntas ?
1- Introdução 49
Firewall no Mikrotik
2 - Firewall 50
Firewall
 O firewall é normalmente usado como ferramenta de segurança
para prevenir o acesso não autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de saída e passante.
 Além da segurança é no firewall que serão desempenhadas

diversas funções importantes como a classificação e marcação
de pacotes para desenvolvimento de regras de QoS.
 A classificação do tráfego feita no firewall pode ser baseada em

vários classificadores como endereços MAC, endereços IP, tipos
de endereços IP, portas, TOS, tamanho do pacotes, etc...
2 - Firewall 51
Firewall - Opções
 Filter Rules: Regras para filtro de pacotes.
 NAT: Onde é feito a tradução de endereços e portas.
 Mangle: Marcação de pacotes, conexão e roteamento.
 Service Ports: Onde são localizados os NAT Helpers.
 Connections: Onde são localizadas as conexões existentes.
 Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e

que podem ser utilizadas em várias partes do firewall.
 Layer 7 Protocols: Filtros de camada 7.

2 - Firewall 52
Estrutura do Firewall
Firewall
Tabela Filter Tabela NAT Tabela Mangle
Canal input Canal input

Canal SRCNAT
regras regras
regras
regras regras Canal Output
regras
Canal Output Canal DSTNAT
regras Canal Forward
regras
regras regras
regras
Canal Prerouting
Canal Forward
regras
regras
Canal Posrouting
regras
regras
2 - Firewall 53
Princípios gerais
 O firewall da Mikrotik é do tipo “default permit” ou
seja, por padrão aceita todos os pacotes.
Podemos mudar essa política através de regras.
“Default Permit” ou seja, aceita TUDO!
2 - Firewall 54
Princípios gerais
 As regras de Firewall são sempre
processadas por canal, na ordem que são
listadas, ou seja de cima para baixo
2 - Firewall 55
Processamento das regras
As regras de Firewall funcionam como
“expressões condicionais”.
“SE <condição>” “ENTÃO <ação>”
2 - Firewall 56
SE combina com os campos ENTÃO executa a ação.
SE IP de destino=8.8.8.8 ENTÃO execute Drop
SE proto=TCP e dst-port=80 ENTÃO executa Accept
2 - Firewall 57
 Se um pacote não atende TODAS as condições de uma regra
ele passa para a regra seguinte. Não havendo mais nenhuma
regra que o pacote atende, por padrão ele é aceito
REGRA 1 – COMBINA?
SIM – PARA AQUI
NÃO – VAI PARA A REGRA 2
2 - Firewall 58
 Quando um pacote atende a TODAS as condições da regra é
tomada uma ação com ele, não importando as regras que
estejam abaixo deste canal, pois estas NÃO serão
processadas
REGRA 1 – COMBINA?
SIM – TOME A AÇÃO E IGNORE AS DEMAIS REGRAS ABAIXO
2 - Firewall 59
 Algumas exceções ao critério citado anteriormente
devem ser consideradas, como as ações de:
passthrough: Usada para fazer a contagem de pacotes.

log: Gera log para pacotes que combinem com a regra.
add to address list: Adiciona endereços de IP para lista de
endereços
2 - Firewall 60
Firewall – Filter Rules
Forward
Input Input
Output Output
Forward
 As regras são organizadas em canais(chain) e existem 3 canais
“default” de tabela filters.
 INPUT: Responsável pelo tráfego que CHEGA no router;
 OUTPUT: Responsável pelo tráfego que SAI do router;
 FORWARD: Responsável pelo tráfego que PASSA pelo router.
2 - Firewall 61
Filters – Caso 1
Usuário acessando o roteador pelo

winbox. Qual a cadeia?
2 - Firewall 62
Filters – Caso 2
1 2
Usuário acessando um roteador na rede,

porém ele passa por outro roteador qualquer.
Qual a cadeia utilizada no primeiro roteador e
no segundo roteador?
2 - Firewall 63
Filters – Caso 3
1 2
Roteador 1 pingando o roteador 2
 Qual a cadeia utilizada pelo usuário no roteador 1?
 Qual a cadeia utilizado pelo roteador 1 para pingar o roteador 2?
 Qual a cadeia utilizada no roteador 2?
Usuário pingando o roteador 1
2 - Firewall 64
Fluxograma Filters
Decisão
Interface
de Canal Forward
roteamento Interface
chegada saída
Canal Output
Canal Input
Decisão
de
roteamento
Processo local
(Serviços locais do roteador)
Ping,Traceroute, SSH
2 - Firewall 65
Firewall – Filters Rules
 Algumas ações que podem ser tomadas nos filtros de
firewall:
 passthrough: Contabiliza e passa adiante.
 drop: Descarta o pacote silenciosamente.
 reject: Descarta o pacote e responde com uma mensagem de
icmp ou tcp reset.
 tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas
não aloca recursos.
2 - Firewall 66
Firewall – Address List
 A address list contém uma lista de endereços IP

que pode ser utilizada em várias partes do firewall.
 Pode-se adicionar entradas de forma dinâmica
usando o filtro ou mangle conforme abaixo:
Action:
add dst to address list: Adiciona o IP de destino à lista.
add src to address list: Adiciona o IP de origem à lista.
Address List: Nome da lista de endereços.
Timeout: Por quanto tempo a entrada permanecerá na lista.
2 - Firewall 67
Firewall – Organização das regras
 As regras de filtro pode ser organizadas e

mostradas da seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por serviços.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usuários.
2 - Firewall 68
Filter Rules – Canais criados pelo usuário
 Além dos canais criados por padrão o administrador pode criar canais
próprios. Esta prática ajuda na organização do firewall.
 Para utilizar o canal criado devemos “desviar” o fluxo através de uma

ação JUMP.
 No exemplo acima podemos ver 3 novos canais criados.
 Para criar um novo canal basta adicionar uma nova regra e dar o nome
desejado ao canal.
2 - Firewall 69
Firewall – Filters Rules
Ações relativas a canais
criados pelo usuário:
jump: Salta para um canal
definido em jump-target.
jump target: Nome do
canal para onde se deve
saltar.
return: Retorna para o
canal que chamou o jump.
2 - Firewall 70
Como funciona o canal criado pelo
usuário
2 - Firewall 71
Como funciona o canal criado pelo
usuário
2 - Firewall 72
Firewall
Protegendo o roteador
2 - Firewall 73
Princípios básicos de proteção
 Proteção do próprio roteador :
 Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
 Permitir somente serviços necessários no próprio roteador.
 Prevenir e controlar ataques e acessos não autorizado ao
roteador.
 Proteção da rede interna :

 Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
 Prevenir e controlar ataques e acesso não autorizado em
clientes.
2 - Firewall 74
Firewall – Proteção básica
 Regras do canal input

 Descarta conexões inválidas.
 Aceitar conexões estabelecidas.
 Aceitar conexões relacionadas.
 Aceitar todas conexões da rede interna.
 Descartar o restante.
2 - Firewall 75
Firewall – Proteção básica
 Regras do canal input

 Permitir acesso externo ao winbox.
 Permitir acesso externo por SSH.
 Permitir acesso externo ao FTP.
 Realocar as regras.
2 - Firewall 76
Firewal – Port Scan
 Port Scan:
 Consiste no escaneamento de portas TCP e/ou UDP.
 A detecção de ataques somente é possível para o protocolo TCP.
 Portas baixas (0 – 1023)
 Portas altas (1024 – 65535)
2 - Firewall 77
Firewall – Técnica do “knock knock”
2 - Firewall 78
Firewall – Técnica do “knock knock”
 A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu
endereço IP em uma determinada address list.
 Neste exemplo iremos restringir o acesso ao winbox somente a endereços IP´s que estejam
na lista “libera_winbox”:
/ip firewall filter
add chain=input protocol=tcp dst-port=2771 action=add-src-to-address

list address-list=knock address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add

src-to-address-list address-list=libera_winbox address-list-timeout=15m
comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox

action=accept disabled=no
add chain=input protocol=tcp dst-port=8291 action=drop disbled=no
2 - Firewall 79
Firewall – Ping flood
 Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatórias.
 Para evitar o Ping flood, podemos bloquear todo tráfego de

ICMP.
 Ao bloquear todo trafego de ICMP podemos ter problemas com

algumas aplicações (monitoramento e outros protocolos).
 Por isso é aconselhável colocarmos uma exceção permitindo um

pelo menos 30 mensagens de ICMP por segundo.
2 - Firewall 80
Firewal – Evitando ping flood
/ip firewall filter

add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp
add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp
2 - Firewall 81
Firewal – Ataques do tipo DoS
 Ataques DoS:
 O principal objetivo do ataque de DoS é o consumo de recursos

de CPU ou banda.
 Usualmente o roteador é inundado com requisições de

conexões TCP/SYN causando resposta de TCP/SYN-ACK e a
espera do pacote TCP/ACK.
 O ataque pode ser intencional ou causado por vírus

em clientes.
 Todos os IP’s com mais de 15 conexões com o roteador

podem ser considerados atacantes.
2 - Firewall 82
Firewal – Ataques do tipo DoS
Se simplesmente descartamos as conexões,
permitiremos que o atacante crie uma nova conexão.
Para que isso não ocorra, podemos implementar a

proteção em dois estágios:
Detecção – Criar uma lista de atacantes DoS com base em

“connection limit”.
Supressão – Aplicando restrições aos que forem detectados.
2 - Firewall 83
Firewal – Detectando um ataque DoS
 Criar a lista de atacantes
para posteriormente
aplicarmos a supressão
adequada.
2 - Firewall 84
Firewal – Suprimindo um ataque DoS
Com a ação “tarpit”
aceitamos a conexão
e a fechamos, não
deixando no entanto
o atacante trafegar.
Essa regra deve ser
colocada antes da
regra de detecção ou
então a address list irá
reescrevê-la todo
tempo.
2 - Firewall 85
Firewal – DDoS
 Ataque DDoS:
 Ataque de DDoS são bastante

parecidos com os de
DoS,porém partem de um
grande número de hosts
infectados.
 A única medida que podemos

tomar é habilitar a opção TCP
SynCookie no Connection
Tracking do firewall.
2 - Firewall 86
Bogons
 Bogons são prefixos reservados (como 192.168.X.Y) ou são prefixos que não foram
disponibilizados para uso público.
 Eles devem ser filtrados pois não alcançáveis publicamente.
 Atualmente não há mais praticamente IPv4 prefixos sem uso, assim a lista de bogons
ficou bem curta.
/ip firewall address-list
add list="BOGONS" address=0.0.0.0/8
2 - Firewall 87
Firewall - NAT
Tradução de endereços e portas
2 - Firewall 88
Firewall - NAT
 NAT – Network Address Translation é uma técnica que permite que
vários hosts em uma LAN usem um conjunto de endereços IP’s para
comunicação interna e outro para comunicação externa.
 Existem dois tipos de NAT :
 SRC NAT: O roteador faz alterações de IP ou porta de origem.
 DST NAT: O roteador faz alterações de IP ou porta de destino.
2 - Firewall 89
Firewall - NAT
As regras de NAT são organizadas em canais:
dstnat: Processa o tráfego enviado PARA o
roteador e ATRAVÉS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.
srcnat: Processa o tráfego enviado A PARTIR do

roteador e ATRAVÉS do roteador, depois que ele
sai de OUTPUT e/ou FORWARD.
2 - Firewall 90
Firewall NAT – Fluxo de pacotes
Interface
chegada
Decisão
Canal DSTNAT de Canal Forward
roteamento Canal SRCNAT
Canal Output
Canal Input
Interface
Decisão saída
de
roteamento
Processo local
2 - Firewall 91
Firewall - SRCNAT
 Source NAT: A ação “mascarade” troca o endereço IP
de origem de uma determinada rede pelo endereço IP
da interface de saída. Portanto se temos, por exemplo,
a interface ether5 com endereço IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trás da ether1,
podemos fazer o seguinte:
 Desta forma, todos os endereços IPs da rede local

vão obter acesso a internet utilizando o endereço
IP 185.185.185.185
2 - Firewall 92
Firewall - DSTNAT
 Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a serviços que rodem na rede interna.
Dessa forma podemos dar acesso a serviços de
clientes sem utilização de endereço IP público.
 Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.
2 - Firewall 93
Firewall - NAT
 NAT (1:1): Serve para dar acesso bi-direcional a
um determinado endereço IP. Dessa forma, um
endereço IP de rede local pode ser acessado
através de um IP público e vice-versa.
2 - Firewall 94
Firewall - NAT
NAT (1:1) com netmap: Com o netmap
podemos criar o mesmo acesso bi-birecional
de rede para rede. Com isso podemos mapear,
por exemplo, a rede 187.15.15.0/24 para a
rede 192.168.1.0/24 assim:
2 - Firewall 95
Firewall – NAT Helpers
 Hosts atrás de uma rede “nateada” não possuem conectividade

fim-afim verdadeira. Por isso alguns protocolos podem não
funcionar corretamente neste cenário. Serviços que requerem
iniciação de conexões TCP fora da rede, bem como protocolos
“stateless” como UDP, podem não funcionar. Para resolver este
problema, a implementação de NAT no Mikrotik prevê alguns
“NAT Helpers” que têm a função de auxiliar nesses serviços.
2 - Firewall 96
Firewall – Mangle
 O mangle no Mikrotik é uma facilidade que permite a
introdução de marcas em pacotes IP ou em conexões,
com base em um determinado comportamento
especifico.
 As marcas introduzidas pelo mangle são utilizadas em
processamento futuro e delas fazem uso o controle de
banda, QoS, NAT, etc... Elas existem somente no
roteador e portanto não são passadas para fora.
 Com o mangle também é possível manipular o
determinados campos do cabeçalho IP como o “ToS”,
TTL, etc...
2 - Firewall 97
Firewall – Mangle
 As regras de mangle são organizadas em canais e
obedecem as mesma regras gerais das regras de
filtro quanto a sintaxe.
 Existem 5 canais padrão:

Prerouting
Postrouting
Input
Output
forward
2 - Firewall 98
Firewall – Diagrama do Mangle
Interface
chegada
Canal Prerouting
Decisão
Canal DST-NAT de Canal Forward
roteamento
Canal Posrouting
Canal Output
Canal Input
Decisão
de Canal SRC-NAT
roteamento
Interface
Processo local saída
2 - Firewall 99
Firewall – Mangle
Change-MSS: Altera o tamanho máximo
do segmento de um pacote.
Change-TTL: Altera o TTL de um pacote.
Change DSCP (TOS): Muda o valor de

TOS (tipo de serviço) de um pacote.
2 - Firewall 100
Firewall – Mangle
As opções de marcações incluem:
mark-connection: Marca apenas o primeiro
pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para política de
roteamento.
Obs.: Cada pacote pode conter os 3 tipos de
marcas ao mesmo tempo. Porém não pode
conter 2 marcas do mesmo tipo.
2 - Firewall 101
Firewall – Mangle
Marcando rotas:
As marcas de roteamento são aproveitadas para

determinar políticas de roteamento.
A utilização dessas marcas será abordada no

tópico do roteamento.
2 - Firewall 102
Firewall – Mangle
Marcando conexões:
Use mark-connection para identificar uma ou
um grupo de conexões com uma marca especifica
de conexão.
Marcas de conexão são armazenadas na contrack.
Só pode haver uma marca de conexão para cada
conexão.
O uso da contrack facilita na associação de cada
pacote a uma conexão específica.
2 - Firewall 103
Firewall – Mangle
Marcando pacotes:
Use mark-packet para identificar um fluxo
continuo de pacotes.
Marcas de pacotes são utilizadas para controle de
tráfego e estabelecimento de políticas de QoS.
2 - Firewall 104
Firewall – Mangle
Marcando pacotes:
Indiretamente: Usando a facilidade da connection
tracking, com base em marcas de conexão
previamente criadas. Esta é a forma mais rápida e
eficiente.
Diretamente: Sem o uso da connection tracking
não é necessário marcas de conexões anteriores e
o roteador irá comparar cada pacote com
determinadas condições.
2 - Firewall 105
Firewall - Mangle
Um bom exemplo da utilização do mangle é
marcando pacotes para elaboração de QoS.
Após marcar a conexão, agora

Precisamos marcar os pacotes
provenientes desta conexão.
2 - Firewall 106
Firewall - Mangle
Obs.: A marcação de P2P
disponibilizada no Mikrotik não
inclui os programas
que usam criptografia.
Com base na conexão já

Marcada anteriormente,
podemos fazer as
marcações dos pacotes.
2 - Firewall 107
Firewall – Connection Track
 Estado das conexões:
 established: Significa que o pacote faz parte de uma conexão já

estabelecida anteriormente.
 new: Significa que o pacote está iniciando uma nova conexão ou faz
parte de uma conexão que ainda não trafegou pacotes em ambas
direções.
 related: Significa que o pacote inicia uma nova conexão, porém está
associada a uma conexão existente.
 invalid: Significa que o pacote não pertence a nenhuma conexão
existente e nem está iniciando outra.
2 - Firewall 108
 Refere-se a habilidade do roteador em manter o estado da
informação relativa as conexões, tais como endereços IP de origem
e destino, as respectivas portas, estado da conexão, tipo de
protocolos e timeouts. Firewalls que fazem connection track são
chamados de “statefull” e são mais seguros que os que fazem
processamentos “stateless”.
2 - Firewall 109
 O sistema de connection tracking é o coração do
firewall. Ele obtém e mantém informações sobre todas
conexões ativas.
 Quando se desabilita a função “connection tracking” são

perdidas as funcionalidades NAT e as marcações de
pacotes que dependam de conexão. No entanto,
pacotes podem ser marcados de forma direta.
 Connection track é exigente de recursos de hardware.

Quando o equipamento trabalha somente como bridge
é aconselhável desabilitá-la.
2 - Firewall 110
Localização da Connection Tracking
Chegada
conntrack
Canal Prerouting
Decisão
Canal DSTNAT de Canal Forward
roteamento
Canal Output Canal Posrouting
conntrack Canal SRCNAT

Canal Input
Decisão Saída
de
roteamento
Processo local
2 - Firewall 111
Universal Plug-and-Play
O ROUTEROS permite a
configuração de UPNP, que
possibilita aos roteadores por trás
de NAT, que tenham suporte a esse
recurso, de “requisitarem” o
redirecionamento de portas ao
roteador dinamicamente.
Para a configuração do UPNP,

Existem dois tipos de interface:
Interna – A interface que provê o
acesso ao seu Cliente
Externa – A interface que provê o
2 - Firewall acesso à Internet. 112
Digrama completo do Firewall
2 - Firewall 113
Perguntas ?
2 - Firewall 114
Web Proxy
3 - Web proxy 115

Web Proxy
Com o serviço de web proxy podemos fazer
cache de “objetos” da internet e com isso
economizar banda.
Também é possível utilizar o web proxy como

filtro de conteúdo sem a necessidade de fazer
cache.
3 - Web proxy 116

Web Proxy – Como usar
Basicamente podemos usar o proxy de duas
maneiras
– Não transparente: É necessário configurar o
endereço e porta do proxy nos computadores
– Transparente: Não é necessário alterar nenhum

configuração nos computadores(não tratar
conexões HTTPS).
3 - Web proxy 117

Habilitando nosso Web Proxy
3 - Web proxy 118

Web Proxy – Não transparente
 Precisamos configurar manualmente o endereço e
porta do servidor de Proxy em nosso navegador.
3 - Web proxy 119

Web Proxy - Access
 A lista de acesso permite
controlar conteúdo que será
permitido ou negado.
 As regras adicionadas nesta

lista são processadas de
forma semelhante que as
regras do firewall. Neste caso
as regras irão processar as
conexões e caso alguma
conexão receba um “match”
ela não será mais processada
pelas demais regras.
3 - Web proxy 120

Web Proxy - Access
 Src. Address: Endereço ip de origem.
 Dst. Address: Endereço ip de destino.
 Dst. Port: Porta ou lista de portas destino.
 Local Port: Porta correspondente do proxy.
 Dst. Host: Endereço IP ou nome de
destino.
 Path: Nome da página dentro do servidor.
 Method: Método HTTP usado nas
requisições.
 Action: Permite ou nega a regra.
 Redirect To: URL ao qual o usuário será
redirecionado caso a regra seja de
negação.
 Hits: Quantidade de vezes que a regra
sofreu “macth”.
3 - Web proxy 121

Web Proxy – Dst. Host e Path
Dst. Host = Nome DNS ou IP utilizado para
acessar um determinado site (de vermelho).
Path = Caminho de uma página ou documento
dentro de um determinado site (de verde).
Dst. Host Path
http://wiki.mikrotik.com/wiki/Manual:IP/Proxy
http://www.mikrotik.com/thedude
3 - Web proxy 122

Caracteres especiais
“*” – Pode ser usado para subistitutir vários

caracteres.
“?” – Pode ser usado para subistitutir um
único carater.
– www.mi?roti?.com
– www.mikrotik*
– * mikrotik*
3 - Web proxy 123

Web Proxy – Criando regras
Crie algumas regras de acesso que permitam e
neguem acesso a alguns sites.
Dica: Para bloquear

sites que contêm
uma palavra especifica
utilize : antes da palavra.
3 - Web proxy 124

Web Proxy – Transparente
Redirecionando o fluxo HTTP para proxy
paralelo.
/ip firewall nat

add chain=dstnat protocol=tcp dst-port=80 action=dst-nat
to-addresses=10.10.10.254 to-ports=8080
3 - Web proxy 125

Web Proxy – Transparente
Redirecionando o fluxo HTTP para proxy local.
/ip firewall nat

add chain=dstnat protocol=tcp dst-port=80 action=redirect to-
ports=8080
3 - Web proxy 126

Web Proxy – Redirecionamento
3 - Web proxy 127

Web Proxy - Parâmetros
 Src. Address: Endereço IP do servidor proxy
caso você possua vários ips no mesmo
roteador.
 Port: Porta onde o servidor irá escuta.
 Parent Proxy: Servidor proxy pai usado em
um sistema de hierarquia de proxy.
 Parent Proxy Port: Porta do proxy pai.
 Cache Administrator: Identificação do
administrador do proxy(geralmente o email).
 Max Cache Size: Tamanho máximo do cache
em KiBytes.
 Cache On Disk: Indica se o cache será em
Disco ou em RAM.
3 - Web proxy 128

 Max Client Connections: Número máximo
de conexões simultâneas ao proxy.
 Max Server Connections: Número
máximo de conexões que o proxy fará a
um outro servidor proxy.
 Max Fresh Time: Tempo máximo que os
objetos que não possuem tempo padrão
definidos, serão considerados atuais.
 Serialize Connections: Habilita múltiplas
conexões entre o servidor e os clientes.
 Always From Cache: Ignore requisições de
atualização dos clientes caso o
objeto(conteúdo) for considerado atual.
3 - Web proxy 129

 Cache Hit DSCP (TOS): Adiciona
marca DSCP com o valor
configurado a pacotes que deram
hit no proxy.
 Cache Drive: Exibe o disco que o
proxy está usando para
armazenamento dos objetos.
Esses discos podem ser acessados
no menu: /system stores.
3 - Web proxy 130

Web Proxy - Status
 Uptime: Tempo que o proxy está rodando.
 Requests: Total de requisições ao proxy.
 Hits: Número de pedidos que foram
atendidos pelo cache do proxy.
 Cache Used: Espaço usado em disco ou RAM
usado pelo cache do proxy.
 Total RAM Used: Total de RAM usada pelo
proxy.
 Received From Servers: Total de dados em Kibytes recebidos de servidores

externos.
 Sent To Clients: Total de dados em Kibytes enviados ao clientes.
 Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos
clientes.
3 - Web proxy 131
Web Proxy - Conexões
Aqui podemos a lista de conexões ativas no proxys
 Src. Address: Endereço IP das
conexões remotas.
 Dst. Address: Endereço destino
que está sendo requisitado.
 Protocol: Protocolo utilizado
pelo navegador.
 State: Status da conexão.
 Tx Bytes: Total de bytes
enviados.
 Rx Bytes: Total de bytes
recebidos remotamente.
3 - Web proxy 132

Web Proxy - Cache
A lista de cache define como as requisições
serão armazenadas ou não no cache do proxy.
Esta lista é manipulada da mesma forma que a

lista de acesso.
Os parâmetros de configuração das regras são

idênticas as regras da lista de acesso.
3 - Web proxy 133

Web Proxy - Direct
 A lista de acesso direto é utilizada quando um
Parent Proxy está configurado. Desta forma é
possível passar a requisição ao mesmo ou tentar
encaminhar a requisição diretamente ao servidor
de destino.
 Esta lista é manipulada da mesma forma que a

lista de acesso.
 Os parâmetros de configuração das regras são

idênticas as regras da lista de acesso.
3 - Web proxy 134

Web Proxy – Segurança
Quando habilitamos um servidor de Proxy, ele
pode ser usado por qualquer usuário, estando
este na sua rede interna ou externa.
Precisamos garantir que somente os clientes da
rede local terão acesso ao Proxy.
/ip firewall filter

add action=drop chain=input in-interface=interface-wan
3 - Web proxy 135

Web Proxy – Regras de Firewall
 Desviando o fluxo web para o proxy
– /ip firewall nat add chain=dstnat protocol=tcp dst-
port=80 action=redirect to-ports=8080
Protegendo o proxy contra acessos externos

não autorizados
– /ip firewall filter add chain=input protocol=tcp dst-
port=8080 ininterface= wan action=drop
3 - Web proxy 136

Perguntas ?
3 - Web proxy 137

Failover
4 - Balance e Failover 138

Acertando sua rota principal
 Abra sua rota default.
 Coloque o campo distance=1
 Clique em comment e coloque principal

Simulando um segundo link
Adicione uma VLAN
Adicione um IP para a VLAN

Adicionando uma segunda rota

Visão geral das rotas
 Veja como deve ficar suas rotas default.
 Quando o roteador tem duas rotas com o endereço de destino iguais o campo distace irá
determinar qual rota será usado para o encaminhamento de pacotes.
 Lembrando que a menor distancia será sempre escolhida.

Adicionando a nova regra de NAT
 Para não ter duas regras de NAT, vamos fazer o seguinte.
 Criar uma address-list no Firewall chamada rede-local e colocar e nela seu range
de IP da sua rede local.

Adicionando a nova regra de NAT
 Vá em IP -> Firewall -> NAT
 Apague as regras já existentes
 Crie a nova regra de NAT conforme a imagem

Testando os dois links
 Acesse o site www.ping.eu e verifique seu IP publico.
 Desabilite sua rota principal e verifique se está navegando normalmente para internet.
 Acesse o site www.ping.eu novamente e verifique se seu IP publico mudou.

Preparando nosso failover
 Para que possamos saber se um link realmente está
fora devemos monitorar um host qualquer na internet.
 Devemos fazer com que o teste de monitoramento seja

encaminhado sempre por um único link, pois caso isso
não aconteça podemos ter um falso positivo.
 Como fazer com que um determinado host seja

acessado por um único link?

Manipulando a rota principal via comandos
 Quando o link principal estiver DOWN deveremos desabilitar a rota principal.
 O comando para desabilitar a rota é: /ip route disable [find comment=principal]
 Quando o link principal estiver UP deveremos habilitar a rota principal.

 O comando para desabilitar a rota é: /ip route enable [find comment=principal]

Criando o script

Forçando o teste sair somente por um link
Para forçarmos o teste somente por um link,
podemos criar uma rota de teste.

Balanceamento de Carga com PCC
Link 1 Link 2
172.25.X.254 172.25.10.254

Elementos da operação de divisão
Classificador Divisor Resto

↓
Dividendo

 O PCC é um recurso utilizado para classificar o tráfego de
acordo com critérios pré-determinados relacionados das
conexões. Os parâmetros de configuração são:

↓
Dividendo

 A partir do classificador selecionado será gerado

um dividendo
 O dividendo que será divido pelo denominador e
então encontraremos o resto da divisão.
 O resto será levado em conta para dizer se o
pacote combina ou não com a regra do firewall.
 Primeiro precisamos fazer marcas de roteamento para que
possamos direcionar os pacotes por mais de um gateway.
 Poderíamos simplesmente efetuar as marcas de roteamento ,
porém isso pode consumir muito recurso de processamento do
roteador.
 Para evitar o consumo excessivo de CPU, primeiro marcamos a
conexão e depois marcamos o roteamento com base na conexão
que já foi marcada.
 Todas as marcações são feitas no Mangle do firewall

Sequencia para criar um Load balance com PCC
1) Marcas de conexão
Utilizando o PCC
2) Marcas de roteamento
com base nas marcas de conexão criadas anteriormente
3) Criar novas rotas

com base nas marcas de roteamento criadas anteriormente

Criando as marcas de conexão – link1
Exemplo de PCC com 2 links

Criando as marcas de conexão – link2

Criando as marcas de roteamento - link1

Criando as marcas de roteamento - link2

Criando as novas rotas
Rota para link 1

com marcas de roteamento
Rota para link 2

com marcas de roteamento

QoS e Controle de banda
5 - QoS 161
Conceitos básicos de Largura e Limite
de banda
 Largura de banda: Refere-se a capacidade total

de transferência que a rede suporta.
 Limite de banda: O limite de banda é o limite

máximo de transferência de dados, onde também
é designada sua velocidade.
 Garantia de banda: É a capacidade mínima

garantida a ser entregue ao usuário, no pior
cenário (exemplo, saturação da capacidade do
link/rede).
5 - QoS 162
Controle de banda simples
5 - QoS 163
Traffic Shaping
• Traffic shaping é um termo da língua inglesa, que
deveria definir a prática de priorização do tráfego de
dados, através de mecanismos de QoS, a fim de
otimizar o uso da largura de banda disponível. Porém
no Brasil, temos vários casos onde o traffic shapping é
usado para limitar alguns serviços em relação a
outros.
Serviços comumente afetados pelo traffic shaping:

 Voip, Skype
 P2P, Downloads
 Videos, Streaming
5 - QoS 164
Qualidade de Serviço
Qualidade de serviço (QoS) é a capacidade de
melhorar os serviços trafegados na rede sobre
tecnologias de comunicação de redes de dados.
Tem como sua principal característica, dar

prioridade, reserva de banda, controle
de jitter (variação de atraso) e latência,
garantindo um bom desempenho das aplicações.
5 - QoS 165
 Os mecanismos para prover QoS no MikroTik são:
– Limitar banda para certos IP’s, sub-redes, protocolos,
serviços e outros parâmetros.
– Limitar tráfego não prioritários, como o P2P.

– Priorizar certos fluxos de dados em relação a outros.
– Utilizar burst’s para melhorar o desempenho web.
– Compartilhar banda disponível entre usuários de forma
ponderada dependendo da carga do canal.
– Utilização de WMM – Wireless Multimídia.
– MPLS – Multi Protocol Layer Switch
5 - QoS 166
Os principais termos utilizados em QoS são:
– Queuing discipline(qdisc): Disciplina de enfileiramento. É um algoritmo
que mantém e controla uma fila de pacotes. Ela especifica a ordem dos
pacotes que saem, podendo inclusive reordená-los, e determina quais
pacotes serão descartados.
– Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. É a

garantia de banda fornecida a um circuito ou link.
– Max Limit ou MIR(Maximal Information Rate): Taxa máxima de dados que

será fornecida. Ou seja, limite a partir do qual os pacotes serão descartados.
– Priority: É a ordem de importância que o tráfego é processado.
Pode-se determinar qual tipo de tráfego será processado
primeiro.
5 - QoS 167
Filas - Queues
 Para ordenar e controlar o fluxo de dados, é aplicada uma
política de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: “As filas são aplicadas na
interface onde o fluxo está saindo.”
 A limitação de banda é feita mediante o descarte de

pacotes.
No caso do protocolo TCP, os pacotes descartados serão
reenviados, de forma que não há com que se preocupar com
relação a perda de dados. O mesmo não vale para o UDP.
5 - QoS 168
Tipos de filas
 Antes de enviar os pacotes por uma interface, eles são processados por
uma disciplina de filas(queue types). Por padrão as disciplinas de filas são
colocadas sob “queue interface” para cada interface física.
 Uma vez adicionada uma fila para uma interface física, a fila padrão da
interface, definida em queue interface, não será mantida. Isso significa
que quando um pacote não encontra qualquer filtro, ele é enviado através
da interface com prioridade máxima.
5 - QoS 169
Tipos de filas
 As disciplinas de filas são utilizadas para (re)enfileirar e
(re)organizar pacotes na medida em que os mesmos chegam na
interface. As disciplinas de filas são classificadas pela sua influência
no fluxo de pacotes da seguinte forma:
– Schedulers: (Re) ordenam pacotes de acordo com um
determinado algoritmo e descartam aqueles que se enquadram
a disciplina. As disciplinas “schedulers” são: PFIFO, BFIFO, SFQ,
PCQ e RED.
– Shapers: Também fazem limitação. Esses são: PCQ e HTB.
5 - QoS 170
Controle de tráfego – Tipos de fila
 PFIFO e BFIFO: Estas disciplinas de filas são baseadas no algoritmo FIFO(First-in
First-out), ou seja, o primeiro que entra é o primeiro que sai. A diferença entre
PFIFO e BFIFO é que, um é medido em pacotes e o outro em bytes. Existe apenas
um parâmetro chamado Queue Size que determina a quantidade de dados em
uma fila FIFO pode conter. Todo pacote que não puder ser enfileirado (se fila
estiver cheia) será descartado. Tamanhos grandes de fila poderão aumentar a latência.
Em compensação provê melhor utilização do canal.
5 - QoS 171
 RED: Random Early Detection – Detecção Aleatória Antecipada é um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho
médio da fila. Quando o tamanho médio da fila atinge o valor configurado em min
threshould, o RED escolhe um pacote para descartar. A probabilidade do número de
pacotes que serão descartados cresce na medida em que a média do tamanho da fila
cresce. Se o tamanho médio da fila atinge o max threshould, os pacotes são
descartados com a probabilidade máxima. Entretanto existem casos que o tamanho
real da fila é muito maior que o max threshould então todos os pacotes que chegam serão descartados.
 RED é indicado em links congestionados com altas taxas de dados. Como é muito
rápido funciona bem com TCP.
Fila
Chegada
Teste de
Passou
descarte
Falhou
Saída
5 - QoS 172
 SFQ: Stochastic Fairness Queuing – Enfileiramento justo é uma disciplina que tem
“justiça” assegurada por algoritmos de hashing e roundroubin. O fluxo de pacotes
será identificado exclusivamente por 4 opções:
– src-address – dst-address – src-port – dst-port
 Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritmo

round roubin distribui a banda disponível para estas sub-filas, a cada “rodada”
configurada no parâmetro allot(bytes). Não limita o tráfego. O objetivo é equalizar
os fluxos de tráfegos(sessões TCP e streaming UDP) quando o link(interface) está
completamente cheio. Se o link não está cheio, então não haverá fila e, portanto,
qualquer efeito, a não ser quando combinado com outras disciplinas (qdisc).
5 - QoS 173
• SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e
há 1024 sub-filas disponíveis.
• É recomendado o uso de SFQ em links congestionados

para garantir que as conexões não degradem. SFQ é
especialmente recomendado em conexões wireless.
5 - QoS 174
 PCQ: Per Connection Queuing – Enfileiramento por conexão foi
criado para resolver algumas imperfeições do SFQ. É o único
enfileiramento de baixo nível que pode fazer limitação sendo uma
melhoria do SFQ, sem a natureza “estocástica”. PCQ também cria
sub-filas considerando o parâmetro pcq-classifier. Cada sub-fila tem
uma taxa de transmissão estabelecida em rate e o tamanho
máximo igual a limit. O tamanho total de uma fila PCQ fica limitado
ao configurado em total limit. No exemplo abaixo vemos o uso do
PCQ com pacotes classificados pelo endereço de origem.
5 - QoS 175
PCQ: Se os pacotes são classificados pelo endereço de origem, então todos os pacotes
com diferentes endereços serão organizados em sub-filas diferentes. Nesse caso é
possível fazer a limitação ou equalização para cada sub-fila com o parâmetro Rate.
Neste ponto o mais importante é decidir qual interface utilizar esse tipo de disciplina.
Se utilizarmos na interface local, todo o tráfego da interface pública será agrupado
pelo endereço de origem.O que não é interessante. Mas se for empregado na
interface pública todo o tráfego dos clientes será agrupado pelo endereço de origem,
o que torna mais fácil equalizar o upload dos clientes. O mesmo controle pode ser
feito para o download, mas nesse caso o classificador será o “dst. Address” e
configurado na interface local.
5 - QoS 176
Controle de tráfego
5 - QoS 177
Controle de tráfego
O controle de tráfego é implementado através de
dois mecanismos:
– Pacotes são policiados na entrada:
– Pacotes são enfileirados na interface de saída:
• Pacotes podem ser atrasados, descartados
ou priorizados.
5 - QoS 178
QoS - HTB
• Hierarchical Token Bucket é uma disciplina de enfileiramento hierárquico que é
usual para aplicar diferentes políticas para diferentes tipos de tráfego. O HTB
simula vários links em um único meio físico, permitindo o envio de diferentes tipos
de tráfego em diferentes links virtuais. Em outras palavras, o HTB é muito útil para
limitar download e upload de usuários em uma rede. Desta forma não existe
saturamento da largura de banda disponível no link físico. Além disso, no Mikrotik,
é utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou mais

filhas. As que não tem filhas são colocadas no
level 0, onde as filas são mantidas e chamadas de
leafs class. Cada classe na hierarquia pode priorizar e
dar forma ao tráfego.
5 - QoS 179
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue03 irá receber 6Mbps

Exemplo de HTB
Obs.: Neste exemplo o HTB foi configurado de modo que,
satisfazendo todas as garantias, a fila pai não possuirá
nenhuma capacidade para distribuir mais banda caso seja
solicitado por uma filha.
5 - QoS 180
QoS - HTB
Exemplo de HTB Exemplo de HTB
228
Obs.: Após satisfazer todas garantias, o HTB disponibilizará
mais banda, até o máximo permitido para a fila com maior
prioridade. Mas, neste caso, permitirá-se uma reserva de
8M para as filas Queue04 e Queue05, as quais, a que
possuir maior prioridade receberá primeiro o adicional de
banda, pois a fila Queue2 possui garantia de banda
atribuída.
5 - QoS 181
QoS - HTB
 Termos do HTB:
– Filter: Um processo que classifica pacotes. Os filtros são responsáveis pela
classificação dos pacotes para que eles sejam colocados nas correspondentes
qdisc. Todos os filtros são aplicados na fila raiz HTB e classificados diretamente
nas qdiscs, sem atravessar a árvore HTB. Se um pacote não está classificado
em nenhuma das qdiscs, é enviado a interface diretamente, por isso nenhuma
regra HTB é aplicada aos pacotes.
– Level: Posição de uma classe na hierarquia.
– Class: Algoritmo de limitação no fluxo de tráfego para uma determinada taxa.

Ela não guarda quaisquer pacotes. Uma classe pode conter uma ou mais
subclasses(inner class) ou apenas uma e um qdisc(leaf classe).
5 - QoS 182
QoS - HTB
 Estados das classes HTB:
– Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que está
consumindo:
• Verde: de 0% a 50% da banda disponível está em
uso.
• Amarelo: de 51% a 75% da banda disponível está
em uso.
• Vermelho: de 76% a 100% da banda disponível
está em uso. Neste ponto começam os descartes
de pacotes que se ultrapassam o max-limit.
5 - QoS 183
QoS - HTB
 No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
– Interfaces:
• Global-in: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas à Global-in recebem todo tráfego entrante no roteador,
antes da filtragem de pacotes.
• Global-out: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas à Global-out recebem todo tráfego que sai do roteador.
• Global-total: Representa uma interface virtual através do qual se passa todo
fluxo de dados. Quando se associa uma politíca de filas à Global-total, a
limitação é feita em ambas direções. Por exemplo se configurarmos um
totalmax-
limit de 300kbps, teremos um total de download+upload de 300kbps,
podendo haver assimetria.
• Interface X: Representa uma interface particular. Somente o tráfego que é
configurado para sair através desta interface passará através da fila HTB.
5 - QoS 184
Interfaces virtuais e o Mangle
5 - QoS 185
Filas simples
 As principais propriedades configuráveis de uma fila simples são:

– Limite por direção de IP de origem ou destino
– Interface do cliente
– Tipo de fila
– Limit-at, max-limit, priority e burst para download e upload
– Horário.
5 - QoS 186
Filas simples - Burst
 Bursts são usados para
permitir altas taxas de
transferência por um período
curto de tempo.
 Os parâmetros que controlam o burst são:

- burst-limit: Limite máximo que o burst alcançará.
- burst-time: Tempo que durará o burst.
- burst-threshold: Patamar para começar a limitar.
- max-limit: MIR
5 - QoS 187
Como funciona o Burst
 max-limit=256kbps
 burst-time=8s
 burst-threshold=192kbps
 burst-limit=512kbps
 Inicialmente é dado ao cliente a banda burst-limit=512kbps. O algoritmo

calcula a taxa média de consumo de banda durante o burst-time de 8
segundos.
– Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold.
– Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do
threshold.
– Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde
acaba o burst.
 A partir deste momento a taxa máxima do cliente passa a ser o max-limit.
5 - QoS 188
Utilização do PCQ
 PCQ é utilizado para equalizar cada usuário ou
conexão em particular.
 Para utilizar o PCQ, um novo tipo de fila deve ser

adicionado com o argumento kind=pcq.

Devem ainda ser escolhidos os seguintes
parâmetros:
– pcq-classifier
– pcq-rate
5 - QoS 189
Utilização do PCQ
• Caso 1: Com o rate configurado como zero, as subqueues
não são limitadas, ou seja, elas poderão usar a largura máxima
de banda disponível em max-limit.
• Caso 2: Se configurarmos um rate para a PCQ as subqueues

serão limitadas nesse rate, até o total de max-limit.
5 - QoS 190
Utilização do PCQ
 Nesse caso, com o rate da fila é

128k, não existe limit-at e tem um
max-limit de 512k, os clientes
receberão a banda da seguinte
forma:
5 - QoS 191
Utilização do PCQ
 Nesse caso, com o rate da fila é 0,

não existe limit-at e tem um max-
limit de 512k, os clientes receberão
a banda da seguinte forma:
5 - QoS 192
Árvores de Fila
 Trabalhar com árvores de fila é uma maneira mais elaborada de
administrar o tráfego. Com elas é possível construir sob medida uma
hierarquia de classes, onde poderemos configurar as garantias e
prioridades de cada fluxo em relação à outros, determinando assim uma
política de QoS para cada fluxo do roteador.
 Os filtros de árvores de filas são aplicados na interface especifica. Os
filtros são apenas marcas que o firewall faz no fluxo de pacotes na opção
mangle. Os filtros enxergam os pacotes na ordem em que eles chegam no
roteador.
 A árvore de fila é também a única maneira para adicionar uma fila em
uma interface separada.
 Também é possível ter o dobro de enfileiramento. Ex: priorizando o
tráfego globalin e/ou global-out, limitação por cliente na interface de
saída. Se é configurado filas simples e árvores de filas no mesmo roteador,
as filas simples receberão o tráfego primeiro e em seguida o classificarão.
5 - QoS 193
Árvores de Fila
 As árvores de fila são
configuradas em queue tree.
 Dentre as propriedades
configuráveis podemos destacar:
– Escolher uma marca de tráfego
feita no firewall mangle;
– parente-class ou interface de
saída;
– Tipo de fila;
– Configurações de limit-at,
max-limit,priority e burst.
5 - QoS 194
Árvores de Fila
Obs.: O roteador não conseguirá garantir banda para Q1 o tempo todo.
5 - QoS 195
Árvores de Fila
 Filas com parent (hierarquia).
5 - QoS 196
Árvores de Fila
C1 possui maior prioridade, portanto
consegue atingir o max-limit. O restante da
banda é dividida entre as outras leaf-queue.
5 - QoS 197
Perguntas ?
5 - QoS 198

MTCTCE

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MTCTCE

Enviado por

Direitos autorais:

Formatos disponíveis

Treinamento oficial Mikrotik

Coffe break as 16:00hs

Almoço as 12:30hs – 1 hora de duração

 Evite conversas paralelas.

 Lembre-se de seu número: XY

 No Mikrotik temos 3 tipos de DHCP.

 O cliente DHCP sempre escuta na porta UDP 68

 Toda negociação inicial é feita através de broadcast.

 Os endereço de origem e destinos usados são 0.0.0.0

 Portanto se você tiver algum tipo de filtro relacionado

MAC AA:AA:AA:AA:AA:AA FF:FF:FF:FF:FF:FF

MAC AA:AA:AA:AA:AA:AA FF:FF:FF:FF:FF:FF

1. Adicionar um endereço de IP na interface que irá rodar o DCHP-SERVER.

2. Executar o SETUP de DHCP-SERVER.

 Delay Threshold - prioriza um servidor DHCP ao invés do outro(quanto

 Always Broadcast - permite comunicação com “falsos” clientes como

 Bootp Support - Suporte para clientes BOOTP

 Use RADIUS - Especifica se o servidor Radius será usado para designação

 Algumas das opções estão integradas ao RouterOS

 Informações adicionais podem ser obtidas em:

 O DHCP server é capaz de atribuir quaisquer uma

 O DHCP client só pode receber informações

 É possível se atribuir um pool através de endereços com barra / ou

 É possível se usar diversos pools juntos utilizando a opção “Next Pool”

 O modo Authoritative permite:

– No: Só ira responder a requisições de endereços

– After 10s delay: Irá funcionar como o modo NO até 10

– After 2s delay: Irá funcionar como o modo NO até 2

 Só pode existir um DHCP relay entre o DHCP

 A comunicação do DHCP Server com relay não

 Quando existem requisições remotas o RouterOS responde

 A partir da versão 4.7 os campos primary-dns e secondary-

 A partir da versão 6.0 rc1 a mudança de servidor dns a ser

Adicionar rotas estáticas.

 Além da segurança é no firewall que serão desempenhadas

 A classificação do tráfego feita no firewall pode ser baseada em

 Filter Rules: Regras para filtro de pacotes.

 NAT: Onde é feito a tradução de endereços e portas.

 Mangle: Marcação de pacotes, conexão e roteamento.

 Service Ports: Onde são localizados os NAT Helpers.

 Connections: Onde são localizadas as conexões existentes.

 Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e

 Layer 7 Protocols: Filtros de camada 7.

Tabela Filter Tabela NAT Tabela Mangle

Canal input Canal input

“Default Permit” ou seja, aceita TUDO!

SE IP de destino=8.8.8.8 ENTÃO execute Drop

SE proto=TCP e dst-port=80 ENTÃO executa Accept

passthrough: Usada para fazer a contagem de pacotes.

Usuário acessando o roteador pelo

Usuário acessando um roteador na rede,

 Qual a cadeia utilizada pelo usuário no roteador 1?

 Qual a cadeia utilizado pelo roteador 1 para pingar o roteador 2?

 Qual a cadeia utilizada no roteador 2?

Usuário pingando o roteador 1

(Serviços locais do roteador)

 A address list contém uma lista de endereços IP

 As regras de filtro pode ser organizadas e

 Para utilizar o canal criado devemos “desviar” o fluxo através de uma

 No exemplo acima podemos ver 3 novos canais criados.

 Proteção da rede interna :

 Regras do canal input

 Regras do canal input