Главная » Статьи

Изменение tcp mss Mikrotik работает только на пакетах tcp syn

На чтение 6 мин Опубликовано Обновлено

Регулирование значения Maximum Segment Size (MSS) является важным аспектом конфигурации сетей, которые используют протокол TCP. MSS определяет максимальный размер сегмента данных, который может быть передан через TCP-подключение. Правильная настройка значения MSS может значительно повысить производительность и надежность сети.

Mikrotik предоставляет возможность изменить значение MSS для всех пакетов TCP, но часто требуется изменить MSS только для пакетов TCP SYN. Это может быть полезно в случае, когда необходимо влиять на размер сегмента данных только при установлении нового TCP-соединения. Такая функциональность позволяет более эффективно использовать пропускную способность сети и уменьшить нагрузку на оборудование.

Но как именно настроить Mikrotik для изменения значения MSS только на пакетах TCP SYN? Давайте разберем эти шаги.

Содержание
  1. Изменение значения Mikrotik tcp mss
  2. Настройка tcp mss в Mikrotik
  3. Изменение параметров tcp syn
  4. Как изменить Mikrotik tcp mss
  5. Применение изменения tcp mss
  6. Настройки Mikrotik для пакетов tcp syn

Изменение значения Mikrotik tcp mss

Для этого можно использовать следующую команду:

/ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu

Эта команда добавляет правило mangle, в котором выбираются пакеты tcp syn и изменяется значение tcp mss на значение, поддерживаемое максимальной передаваемой единицей данных (PMTU).

При такой настройке, Mikrotik будет автоматически корректировать значение tcp mss на пакетах tcp syn, что может помочь снизить проблемы с фрагментацией и улучшить производительность сети.

Настройка tcp mss в Mikrotik

Для этого нужно перейти в меню Firewall -> Filter Rules и создать новое правило.

  1. В поле Chain выберите forward, если требуется изменить tcp mss на пакетах, проходящих через маршрутизатор или выберите input, если требуется изменить tcp mss только на пакетах, адресованных маршрутизатору.
  2. В поле Protocol выберите TCP.
  3. В поле Src. Address и Dst. Address укажите адреса источников и назначения, на которых требуется изменить tcp mss.
  4. В поле TCP Flags выберите Syn.
  5. В поле Action выберите Action -> Change TCP MSS
  6. В поле New TCP MSS укажите новое значение tcp mss.

После настройки правила, tcp mss будет изменяться только на пакетах tcp syn, соответствующих указанным условиям. Это позволяет контролировать размер tcp сегментов и оптимизировать производительность сети.

Изменение параметров tcp syn

ШагОписание
Шаг 1Зайдите в меню «IP» -> «Firewall» -> «Mangle».
Шаг 2Нажмите на кнопку «Add New» для создания нового mangle правила.
Шаг 3В разделе «General» установите в поле «Chain» значение «forward».
Шаг 4В разделе «Advanced» установите в поле «Protocol» значение «tcp».
Шаг 5В разделе «Action» установите в поле «Action» значение «change-mss».
Шаг 6В разделе «Extra» установите в поле «TCP Flags» значение «syn».
Шаг 7В разделе «Change TCP MSS» установите в поле «New TCP MSS» нужное значение MTU.
Шаг 8Нажмите на кнопку «OK» для сохранения настроек.

Теперь Mikrotik будет изменять значение tcp mss только на пакетах tcp syn, а остальные пакеты будут проходить без изменений.

Как изменить Mikrotik tcp mss

Значение tcp mss представляет собой максимальный размер пакета, который может быть передан по протоколу TCP. Оно ограничивается значением MTU (Maximum Transmission Unit) — максимальной длиной пакета, которую маршрутизатор или коммутатор может обрабатывать.

Изменение значения tcp mss на пакетах tcp syn может быть полезно в случаях, когда у вас есть сетевое оборудование или провайдер, который не поддерживает пакеты с большим значением mss. По умолчанию, Mikrotik автоматически устанавливает значение mss равным MTU минус размер заголовков tcp и ip.

Для изменения значения tcp mss только на пакетах tcp syn в Mikrotik, можно использовать маршрутизацию по меткам (Mangle) и правило фильтрации (Filter).

  1. Войдите в консоль маршрутизатора Mikrotik и перейдите в раздел IP.
  2. Выберите пункт меню Firewall и затем Mangle.
  3. Нажмите на кнопку Add New, чтобы создать новое правило.
  4. Задайте имя правила, например, «Change MSS».
  5. В поле Chain выберите forward.
  6. В поле Protocol выберите tcp.
  7. В поле TCP Flags выберите syn.
  8. В поле Action выберите change mss.
  9. В поле New TCP MSS укажите желаемое значение mss.
  10. Нажмите OK, чтобы сохранить правило.

После этого, Mikrotik будет изменять значение tcp mss только на пакетах tcp syn.

Изменение tcp mss может быть полезным при настройке VPN-соединений, когда маршрутизаторы или коммутаторы посредников не поддерживают большую длину пакетов. Помните, что изменение tcp mss может повлиять на производительность сети, поэтому рекомендуется изменять его только в случае необходимости.

Применение изменения tcp mss

Но перед тем, как приступить к изменению tcp mss, важно понять, что это значение относится только к пакетам tcp syn. Это означает, что изменение будет применено только для тех пакетов, которые устанавливают новые tcp-соединения.

Один из способов изменить tcp mss на Mikrotik — это использование набора маршрутизации, в котором указывается соответствующее значение tcp mss. Например:

  • Создайте новое правило в наборе маршрутизации:
    • /ip firewall mangle
add action=change-mss chain=forward protocol=tcp tcp-flags=syn new-mss=1440
  • Укажите значение new-mss, которое будет применено к tcp-соединениям. В данном случае, значение 1440 является оптимальным для большинства сетей.
  • Правило должно находиться в цепочке forward, чтобы применяться к пакетам, проходящим через Mikrotik.
  • Протокол должен быть указан как tcp, а флаги tcp должны быть установлены на syn, чтобы правило применялось только к пакетам tcp syn.

Кроме того, важно учесть, что после применения изменений tcp mss, необходимо проверить их эффективность с помощью соответствующего анализа и мониторинга сетевого трафика. Это поможет убедиться, что изменение tcp mss не вызывает проблем в работе сети и не ухудшает качество обслуживания пользователей.

Настройки Mikrotik для пакетов tcp syn

Syncookie и tcp mss clamping

Mikrotik предлагает несколько способов настройки tcp mss только для пакетов tcp syn. Одним из них является использование syncookie и tcp mss clamping.

Syncookie — это механизм, используемый для защиты от атак типа SYN flood, при которых атакующий отправляет большое количество пакетов TCP SYN с поддельными источниковыми IP адресами. Когда Mikrotik обнаруживает такую атаку, он включает в свой ответ синхронизационный номер в качестве хеша источникового и приемного ip-адресов, портов и последовательных номеров. Таким образом происходит сведение вызовов установления соединения к простой проверке, и Mikrotik успешно отражает атаки SYN flood. Для включения syncookie необходимо включить опцию «syn cookies» в настройках Mikrotik.

Tcp mss clamping — это механизм, позволяющий определить и установить максимальный размер TCP сегмента (MSS) для конкретного соединения. Вместо установки фиксированного значения MSS для всех пакетов TCP, tcp mss clamping анализирует пакеты tcp syn, чтобы определить оптимальное значение MSS. Mikrotik поддерживает настройку tcp mss clamping с использованием команды «ip tcp-mss clamp».

Как правило, в сетях с Mikrotik рекомендуется использовать оба механизма — syncookie и tcp mss clamping, чтобы обеспечить надежное и безопасное функционирование TCP соединений.

Оцените статью