Mikrotik - ograniczamy prędkość połączenia w oparciu o listę adresów
Data: 2019-02-10, autor: Michał MisztalZapewne denerwuje Was sytuacja gdy sieć firmowa nagle spowalnia. Czy to wskutek przeglądania Facebooka, korzystania z torrentów czy pobierania aktualizacji systemu. Dziś napiszę w jaki sposób zlimitować te połączenia w urządzeniach Mikrotika opartych o RouterOS.
Dla przejrzystości zajmę się stroną speedtest.pl z tego względu, że posiada miernik który pokaże czy limit faktycznie działa.
Na początek zrzut ekranu - tak wygląda test szybkości łącza przed włączeniem limitu.

Do wykonania mamy
- sprecyzowanie połączeń które mają być limitowane - będzie to wyrażenie .*speedtest.pl.*
- oznaczenie pakietów które spełniają warunek z pozycji wyżej
- utworzenie limitu dla oznaczonych pakietów
Aby wykonać pozycję pierwszą należy przejść do IP\Firewall\Layer7 Protocols i dodać regułę.

Następnie w IP\Firewall\Mangle dodajemy regułę
- General\Chain: forward
- Advanced\Layer7 Protocol: speedtest - tutaj podajecie warunek który utworzyliście wcześniej
- Action\Action: mark packet
- Action\New Packet Mark: mark speedtest - tutaj podajecie nazwę dla reguły oznaczania pakietów
Jeśli teraz odświeżycie stronę speedtest.pl zobaczycie ilość oznaczonych pakietow.

Teoretycznie mamy już wszystko, ale wypadałoby wiedzieć kto na wspomnianą stronę wchodzi, zwłaszcza gdy jest to Facebook a są to godziny pracy. Utworzymy więc listę adresów komputerów które odwiedziły daną stronę. Wykorzystamy do tego istniejącą regułę którą utworzyliśmy wcześniej. Czyli w IP\Firewall\Mangle dodajemy regułę
- General\Chain: forward
- General\Protocol: 6 (tcp) - do listy potrzebne nam tylko zapytania na domyślny port www
- General\Src. Port: 80 - domyślny port www, dla https będzie to port 443
- General\Packet Mark: mark speedtest - nazwa reguły utworzonej wcześniej
- Action\Action: add dst to address list
- Action\Address List: speedtest address list - wpisujemy nazwę pod jaką ma być zapisywana lista adresów
Teraz gdy odświeżymy strone speedtest.pl to w IP\Firewall\Address Lists zobaczymy pierwsze wpisy.

Teraz przechodzimy do Queue Tree i dodajemy nową regułę

I to wszystko, teraz gdy przeprowadzimy test łącza naszym oczom okaże się niezbyt satysfakcjonujący wynik.
