En ésta última entrega (por ahora) enseñaré a utilizar RB para administradores de red.
Lo más interesante en una red es garantizar la calidad de servicio (QoS) como también algo implícito es cambiar los puertos.
Avancemos con las configuraciones:
IP SERVICES
Permite cambiar los puertos por defecto de los servicios, también designar que IP están habilitadas a acceder al servicio lo más importante, es posible instalar certificados para los servicios.
(http://i.imgur.com/uAHwEdE.png)
IP SETTINGS
Las configuraciones IP permiten configurar parametros referentes a redirecciones, tipos de rutas a utilizar, tiempos ARP e ICMP limit entre otras configuraciones de FastTrack.
(http://i.imgur.com/TPuMD8G.png)
LOGGING
Éste apartado permite configurar que acciones seran insertadas en el LOG
(http://i.imgur.com/BizuQ39.png)
USERS
La sección de usuarios permite separar tareas, crear grupos de usuarios para administración, lectura de logs agregar las llaves privadas SSH.
(http://i.imgur.com/TSffLbD.png)
FIREWALL (FILTER / NAT / MANGLE )
Una sección bastante extensa.
FILTER
Ésta "opción" permite elegir una acción para las siguientes cadenas:
- INPUT: Los paquetes que van dirigidos al Router.
- OUTPUT: Los paquetes que salen del Router.
- FORWARD: Los paquetes que pasan por el Router.
(http://i.imgur.com/1888mac.png)
Debido a la complejidad de las diferentes configuraciones que es posible realizar, quedará a criterio del lector las alternativas dependiendo del escenario al que se enfrente.
A modo de introducción, dentro de este apartado es posible rechazar conexiones desde un origen o hacia un destino (IP) para trabajar con CIDR debe crear listas para utilizarlas.
Tambien tiene un potente filtro de capa 7 que permite manejar expresiones regulares.
Puede filtrar por contenido en capa 7 y por bytes para realizar un QoS con diferentes paquetes de descargas (10MB / 50MB / 100MB).
Permite realizar marcado de paquetes y conexiones para luego elegir si debe salir a internet o debe quedarse en la red interna.
NAT
Ésta "opción" permite elegir una acción para las siguientes cadenas:
- SRCNAT: Paquetes que provienen de la red interna y tienen como destino internet.
- DSTNAT: Paquetes que van dirigidos a la red interna de internet.
Aquí es posible realizar redirecciones (DMZ / IP-FORWARDING), lo más común es realizar un redirect hacia un servidor RDP, encontes el código quedaría:
/ip firewall nat add chain=dstnat dst-address="Dirección IP" action=dst-nat to-addresses="Dirección IP del servidor " protocol=TCP dst-port=3389
Realizando la salvedad qué, permite elegir una dirección IP origen para establecer la conexión o cualquier IP origen (por cuestion de mejor administración) lo deseable es indicar la IP desde donde se establecerá la conexion.
MANGLE
Ésta "opción" permite elegir una acción para las siguientes cadenas:
- INPUT: Todo lo que ingresa al Router.
- OUTPUT: Todo lo que sale del Router.
- FORWARD: Todo lo que pasa por el Router.
- PRE-ROUTING: Cadenas de datos antes de ser enrutadas.
- POST-ROUTING: Cadenas de datos luego de enrutar.
Principalmente aquí se realiza el trabajo de Load-Balancing (Balanceo de Carga) ya que se marcan conexiones y paquetes, indicando lo que ingresa por una interfaz sale por la misma tambien el corazón de Quee-Tree es Mangle debido que todas las marcas de paquetes son utilizas para garantizar un QoS (Calidad de servicio por protocolos y servicios)
La siguiente imagen tiene por objetivo mostrar las reglas para un balanceo de carga de 3 líneas mixtas (ADSL/WIFI CLIENT/IF FIJA)
(http://i.imgur.com/mLEUdBv.png)
Queues List
Muchas veces ocurre que el ISP brinda un servicio de inferior calidad al que contrata de alli debe recurrir a diferentes alternativas para que la cantidad de MB que ofrece sea igual o equilibrado (en este caso los conceptos no son similares), al ser igual vamos a referirnos que a cada usuario se otorga una velocidad de subida/bajada igual.
Al ser equilibrado indica que el total del ancho de bande será una carga equilibrada entre el total de usuarios.
De aquí debe diferenciar y establecer políticas acorde al lugar dodne lo utiliza o implementará.
Las diferentes solapas describen:
- Simple Queue: Colas Simples, permiten definir de una forma intuitiva la velocidad de bajada/subida, tiempo de BURST (o rafagas), franjas horarias de trabajo o bloqueo.
- Interface Queue: Colas por interfaces, el RB define éste parametro.
- Queue Tree : Árbol de colas, utilizado para QoS, un trabajo que debe diagramar y diseñar previamente, debido que luego de ser implementado es complejo de agregar nuevas reglas que estén por encima o debajo del servicio a priorizar.
- Queue Types: Tipos de colas, por conexion, fifo, pfifo, red, sfq, permite establecer el tipo de cola a utilizar, útil al trabajar con QoS y Queue Tree.
Aquí verá Queue-Simple, la imagen que visualiza debajo, indica la configuración a realizar para ver el funcionamiento sobre una determinada IP, ejemplificando con la carga de videos On-Line.
(http://i.imgur.com/Gb8oRp1.png)
Debe respestar la siguiente regla para Download y Upload.
Limit-At < Max-Limit < Burst-Limit
El tiempo es expresado en segundos.
Las siguientes imágenes muestran el funcionamiento de una Cola-Simple con un video en baja calidad y cuando varía la calidad.
Una vez que el limite de velocidad es alcanzado hay estadísticas que indican la cantidad de paquetes que han sido descartados puestos en cola.
(http://i.imgur.com/NoycUf0.png)
(http://i.imgur.com/mfGr224.png)
Como se apreció en las imagenes anteriores, al alcanzar el límite establecido, el usuario no podrá utilizar mas Bandwith o ancho de banda, garantizando a cada usuario una velocidad de acceso.
ESTADÍSTICAS DE INTERFACES Y LA HERRAMIENTA DEL ADMINISTRADOR
La siguiente imagen mostrará la estadistica de las interfaces globales y tambien verá una herramienta incluida en los RB llamada TORCH la cual permite monitorear una interfaz, una IP en particular para conocer que hace en la LAN e Internet.
(http://i.imgur.com/ArD4tue.png)
(http://i.imgur.com/74H5OsX.png)