Forward, prerouting, postrouting v mangle.

[pepulis]

Doslechl jsem se, že na nejakem (nevim ted presne kterem) skoleni bylo receno, ze pro routovanou sit se pro manglovani pkaetu ma pouzivat misti forward postrouting a prerouting. Dale mi bylo sdeleno ze je lepsi mit oddelene stroje (PC, RB atd.) zvlast na shejpr a zvlast na NAT (maškarada). Muze mi to nekdo objasnit proc, co tim ziskam apod. A nebo je to jen nejaka fama. Dekuji.

[jahoo]

No na tomto školení jsem byl, bylo v Jihlavě abylo pořádáno firmami INWIFI a I4. Zde bylo žečeno, že pro routované sítě se používá prerouting, nebylo už ale vysvětleno, proč. Jinak celá prezentace včetně backup nastavení jednotlivých mikrotiků je na této adrese:
http://www.mikrotik.cz/skoleni
Přístupové jméno a heslo pro jednotlivé kofigurace je:
Login:admin
Pass:220

[skrebon]

Doslechl jsem se, že na nejakem (nevim ted presne kterem) skoleni bylo receno, ze pro routovanou sit se pro manglovani pkaetu ma pouzivat misti forward postrouting a prerouting. Dale mi bylo sdeleno ze je lepsi mit oddelene stroje (PC, RB atd.) zvlast na shejpr a zvlast na NAT (maškarada). Muze mi to nekdo objasnit proc, co tim ziskam apod. A nebo je to jen nejaka fama. Dekuji.

odeleny nat od shapingu je celkom fama. Skor zatazenie stupa pri limitovani poctu spojeni a manglovania p2p (rapidne stupa). Na routovanu siet by sa mal pouzivat postrouting a prerouting , ale v klude pouzij forward. Pre vysvetlenie hladaj na eng fore. Strucne: pri forward manglovani budes mat zasadny problem pri pouziti SQ. Ak budes maskaradovat a pouzijes xxxxrouting, tak si uzijes zasa mnohonasobne tvorenych zbytocnych pravidiel(mar connections), namiesto jednoho pre upload a jednoho pre download. routingy nechytia natovane adresy, forward ano.

[pekr]

odeleny nat od shapingu je celkom fama. Skor zatazenie stupa pri limitovani poctu spojeni a manglovania p2p (rapidne stupa). Na routovanu siet by sa mal pouzivat postrouting a prerouting , ale v klude pouzij forward. Pre vysvetlenie hladaj na eng fore. Strucne: pri forward manglovani budes mat zasadny problem pri pouziti SQ. Ak budes maskaradovat a pouzijes xxxxrouting, tak si uzijes zasa mnohonasobne tvorenych zbytocnych pravidiel(mar connections), namiesto jednoho pre upload a jednoho pre download. routingy nechytia natovane adresy, forward ano.

Je to skutecne fama? Ja myslel, ze pokud by byl NAT predrazeny na nejake jine masine jeste pred routerem, pak by manglovani bylo jednodussi. Myslim si ze prave NAT je na vine, proc se musi pak pouzivat connection marking, nez se udela packet marking ...

Co se tyce tech chainu, tak to trochu nechapu - jestli to spravne chapu, tak pre(post)routing probihaji jeste pred prislusnymi NATy? Forward chain az po NATu? Nechapu ale ten remark o SQ - probiha SQ jindy nez QT? Ma to neco spolecneho s fazemi global-in, global-out a global-total?

diky,
-pekr-

[skrebon]

Je to skutecne fama? Ja myslel, ze pokud by byl NAT predrazeny na nejake jine masine jeste pred routerem, pak by manglovani bylo jednodussi. Myslim si ze prave NAT je na vine, proc se musi pak pouzivat connection marking, nez se udela packet marking ...

Co se tyce tech chainu, tak to trochu nechapu - jestli to spravne chapu, tak pre(post)routing probihaji jeste pred prislusnymi NATy? Forward chain az po NATu? Nechapu ale ten remark o SQ - probiha SQ jindy nez QT? Ma to neco spolecneho s fazemi global-in, global-out a global-total?

diky,
-pekr-

Manglovani je jednoduche, ci je maskarada na tom istom routri, kde sa mangluje alebo inde. Forward chain v mangle vezme ip este pred srcnat, takze pohoda. Kto neveri, nech sa presvedci Zamangluj vo forwarde prichodzi i odchodzi traffic nejakej ip, v QT to nahod do global-out a je to. Samozrejme global-in a global-total uz nemozes pouzit.

[soucez]

odeleny nat od shapingu je celkom fama. Skor zatazenie stupa pri limitovani poctu spojeni a manglovania p2p (rapidne stupa). Na routovanu siet by sa mal pouzivat postrouting a prerouting , ale v klude pouzij forward. Pre vysvetlenie hladaj na eng fore. Strucne: pri forward manglovani budes mat zasadny problem pri pouziti SQ. Ak budes maskaradovat a pouzijes xxxxrouting, tak si uzijes zasa mnohonasobne tvorenych zbytocnych pravidiel(mar connections), namiesto jednoho pre upload a jednoho pre download. routingy nechytia natovane adresy, forward ano.

Je to skutecne fama? Ja myslel, ze pokud by byl NAT predrazeny na nejake jine masine jeste pred routerem, pak by manglovani bylo jednodussi. Myslim si ze prave NAT je na vine, proc se musi pak pouzivat connection marking, nez se udela packet marking ...

Co se tyce tech chainu, tak to trochu nechapu - jestli to spravne chapu, tak pre(post)routing probihaji jeste pred prislusnymi NATy? Forward chain az po NATu? Nechapu ale ten remark o SQ - probiha SQ jindy nez QT? Ma to neco spolecneho s fazemi global-in, global-out a global-total?

diky,
-pekr-

Já teda v routované síti pouívám pro manglování forward všude a normálně to funguje.

[net.work]

Mrknete zde: http://www.mikrotik.com/testdocs/ros/2.9/ip/flow.php na to schema kudy prochazi packet ve firewallu..

[soucez]

Mrknete zde: http://www.mikrotik.com/testdocs/ros/2.9/ip/flow.php na to schema kudy prochazi packet ve firewallu..

No na to schémátko kudy chdí packety jsem koukal, ale připadá mi že přes forward půjde vždycky ne?

Jak teda rozumět pojmu že sí je routovaná. nemám na Mikrotiku jediný bridge takže routuju ne? Teba usery 172.17.x.x musím naroutovat pomocí routovací tabulky v hlavním mikrotiku na RB532 který je jinde statickou routou že sí 172.17.0.0/16 leží na interfacu 10.222.222.2 čili routuju je to tak?

Tak tedy zkusil jsem na hlavním mikrotiku v manglu zvolit prerouting. V tom okamžiku ping na http://www.seznam.cz jde, ale stránky se nenačítají. Tak jsem zkusil postrouting a šlo to OK. Zrovna tak forward kterej používá od samého začátku kdy byl mikrotik ještě v bridži. Takže co je správně?

[net.work]

Mrknete zde: http://www.mikrotik.com/testdocs/ros/2.9/ip/flow.php na to schema kudy prochazi packet ve firewallu..

No na to schémátko kudy chdí packety jsem koukal, ale připadá mi že přes forward půjde vždycky ne?

Jak teda rozumět pojmu že sí je routovaná. nemám na Mikrotiku jediný bridge takže routuju ne? Teba usery 172.17.x.x musím naroutovat pomocí routovací tabulky v hlavním mikrotiku na RB532 který je jinde statickou routou že sí 172.17.0.0/16 leží na interfacu 10.222.222.2 čili routuju je to tak?

Tak tedy zkusil jsem na hlavním mikrotiku v manglu zvolit prerouting. V tom okamžiku ping na http://www.seznam.cz jde, ale stránky se nenačítají. Tak jsem zkusil postrouting a šlo to OK. Zrovna tak forward kterej používá od samého začátku kdy byl mikrotik ještě v bridži. Takže co je správně?

ja pouzivam prerouting, ten mi ale nechodil treba na GW kde delam maskaradu.. jinak vse ok

[pekr]

Ahoj,

pres forward to rozhodne nechodi vzdycky. IMO jediny chain kudy to chodi vzdycky je prave prerouting. Tam se to rozhodne, zdali to je urceno pro router, tak pak to skonci v inputu. Kdyz je predtim jeste dst-nat, tak to do inputu nejde, ikdyz to je vlastne smerovano na vasi verejnou adresu, ale pujde to pres forward to postroutingu. No a kdyz to jde ze serveru samotneho, tak je to output a postrouting. Na pameti je treba mit, ze co se tyce input, forward, output, tak to vzdy prochazi pouze jednim z nich.

To s tim seznam.cz je divne. To co popisujes je skutecne routing, ale co vlastne manglujes a co na zaklade toho manglu pak delas?

-pekr-

[soucez]

Ahoj,

pres forward to rozhodne nechodi vzdycky. IMO jediny chain kudy to chodi vzdycky je prave prerouting. Tam se to rozhodne, zdali to je urceno pro router, tak pak to skonci v inputu. Kdyz je predtim jeste dst-nat, tak to do inputu nejde, ikdyz to je vlastne smerovano na vasi verejnou adresu, ale pujde to pres forward to postroutingu. No a kdyz to jde ze serveru samotneho, tak je to output a postrouting. Na pameti je treba mit, ze co se tyce input, forward, output, tak to vzdy prochazi pouze jednim z nich.

To s tim seznam.cz je divne. To co popisujes je skutecne routing, ale co vlastne manglujes a co na zaklade toho manglu pak delas?

-pekr-

Na základě toho manglu řídím QT...
Nechceš dát demo na můj mikrotik, že by jsi se na to koukl?

[Karel Půček]

Omarkované pakety ve forwardu, v postroutingu a v preroutingu jsou tři překrývající se skupiny, jako datově. Vyplatí se je dávat za sebou. Jinak postrouting mi omangloval nejvíce paketů. Odzkoušení doporučuju. 2.9.41

Ale část paketů stejně prochází, myslel jsem , že tomu zamezím, ale nikoliv. SQ se rozhodly preferovat jen ten postrouting nad forwardem, kterému ani bit.

V případě postroutingu se v případě SQ v jejich pravidlech nepočítá download. To v případě forwardu ano.

Změní se něco, pokud použiju netmap?

[sub_zero]

Zdravim, prosim nejake IT guru (skrebon, jali) ci nekoho fundovaneho (zkus to i Ty, Leeonku:)) o objasneni nasledujiciho problemu.

hlavni router (core), LAN IP 172.22.64.199/19, na siti cca 500 PC (plocha sit, oddelena VLANy na subnety).

dale na siti je nekolik subnetu 192.168.xx.xxx/24, ciste routovany. NATy na verejny IP se delaj az na Cisco routeru poskytovatele, tzn ze na tom paternim neni jedinej NAT.

shaping IP se provadi pomoci mangle a QT. Pro kazdeho uzivatele jsou 2 pravidla (up,down). p2p se resi globalne (sice neefektivne, ale nejak to neresime). problem je nasledujici:

V QT je vytvorena struktura zvlast pro IN a OUT. U obouch je pouzito GLOBAL-OUT. jednotlivy podparenty jsou jasny.

v mangle jsou u uzivatelu pouzity pro subnet 172.xxx.xxx.xxx/19 prerouting pro upload a postrouting pro download. A pro subnety 192.xxx.xxx.xxx/24 forward. Jakmile jsme chteli pouzit pro vsechny stejnej chain, vzdy jeden z tech rozsahu (bud 172 nebo 192) neznackoval. To same plati i pro QT. Pri pouzity GLOBAL-OUT a rozdeleni uzivatelu na forward a pre/postrouting, se neuplatnuje shaping pro upload ze 172. po prepnuti na BLOBAL-IN ci GLOBAL-TOTAL se to rozbehne, nicmene se prestane uplatnovat shaping uploadu na tu 192ku.

Moh by nekdo vysvetlit, princip toho markovani a vytvoreni idealni struktury QT? Tabulku smeru paketu z http://www.mikrotik.com uz znam skoro nazpamet, nicmene podle toho, co jsem cetl vyse, tak by to melo fungovat pro vsechny uzivatele na stejne chainy (forward), ale nedeje se.

Dikec vsem