fast track o fastrack

[luigi67]

Salve a tutti

dalla relase 6.29 è stata introdotta la funzione fastrack che a quanto ho capito dovrebbe migliorare il il funzionamento del firewall e ridurre il carico della CPU.

Ho il seguente scenario mikrotik RB751U-2HnD con 6.29.1 utilizzato in ufficio che ha le interfacce bridgate su bridge1 e in più la rete non è nattata ma bridgiata dato che si tratta di una rete universitaria con inidrizzi pubblici che devono essere tracciati.


Le mie domande sono :

1) Si può impostare il fastrack per interfaccia bridge e rete bridgata, non nattata e come dovrei fare?

2) In questo contesto ho realmente un miglioramento prestazionale dato che per impedire connessioni internet illecite permetto le connessioni in uscita solo da indirizzi "censiti" con l'accoppiata indirizzo ip - mac address e sono ad oggi sono circa 70 regole?

Grazie
Luigi

[figheras]

Su dispositivi con interfacce in bridge puoi usare soltanto il "FastPath" e non il fast track che viene usato soltanto per router dietro nat....

Per attivare il FastPath:

Codice: Seleziona tutto

interface bridge settings set allow-fast-path=yes
queue interface set "NOME INTERFACCIA" queue=only-hardware-queue

L'unica limitazione è data dall'HW, non tutte le RB possono avvalersi di tale supporto, vedi la lista qui:
http://wiki.mikrotik.com/wiki/Manual:Fast_Path

Mentre per attivare il fasttrack:
(Porre in cima le regole)

Codice: Seleziona tutto

/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid

[luigi67]

Grazi per il chiarimento, la limitazione del bridge (ho una RB9xx) sarà superata su altre versioni di ruteros?

[luigi67]

Ecco una configurazione fatta senza bridge.
E' una routerboard emulata, quindi non so quanto valida per l'aspetto HW/emulato.Appena avrò un minuto a casa voglio provare. Ho notato che con questa configurazione il contatore della regola fasttrack in ip-->firewall-->filter scorre, ma non scorrono i contatori di ip-->settings IPv4 fasttrack pacchetti e bytes. E' corretto o anche questo contatore deve funzionare?
Grazie
Luigi

Codice: Seleziona tutto

# oct/22/2015 11:12:05 by RouterOS 6.32.2
# software id = P493-AMDC
#
/caps-man configuration
add name=cfg1
/interface ethernet
set [ find default-name=ether1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/ip firewall layer7-protocol
add name="port 1234" regexp="^test\$"
/system logging action
add memory-lines=1 name=chgrule target=memory
/ip firewall connection tracking
set enabled=yes
/ip settings
set tcp-syncookies=yes
/ip address
add address=192.168.1.10/24 interface=ether1 network=192.168.1.0
add address=192.168.2.10/24 interface=ether2 network=192.168.2.0
add address=7.7.45.133/25 interface=ether3 network=7.7.45.128
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related log=yes log-prefix=fast----
add chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.1.0/24 to-addresses=\
    7.7.45.133
/ip route
add distance=1 gateway=7.7.45.129