Mangle

Mangle是一种“标记”，标志着未来处理有特殊标记的数据包。RouterOS的许多其他设施，使这些痕迹，如队列树木，NAT，路由使用。他们确定一个数据包，根据其商标，并对其进行相应的处理。轧布机马克只存在于路由器，它们不会在网络中传输。

此外，用于修改一些领域，如TOS（DSCP）和TTL字段在IP报头的杂乱设施。

财产 描述

动作（动作名称 ;默认接受） 要采取的动作，如果数据包匹配的规则：

接受 -接受包。数据包被传递给下一个防火墙规则。

添加DST-地址列表 -添加目的地址指定的地址列表地址列表参数

添加SRC-地址列表 -添加源地址到地址列表中指定的地址列表参数

DSCP变化 -变化差分服务代码点（DSCP）字段值指定新的DSCP参数

变化MSS -变化最大段大小的数据包字段值由新MSS参数指定的值

改变TTL -变化的生存时间字段值的数据包新的ttl参数指定的值

跳 -跳跳目标参数 的值指定用户定义的链

登录 -添加一条消息到系统日志包含以下数据：在接口，输出接口，SRC-MAC，协议，SRC-IP：端口> DST-IP：端口和数据包的长度。匹配数据包后，它被传递到列表中的下一条规则，类似直通

整个连接上新的连接标记参数相匹配的规则所指明的标记标记连接 -地方

包标记 -标记指定匹配规则的数据包上新的数据包标记参数

路由标记 -标记放置一个数据包上指定新的路由标记参数。这种标记是用于策略路由的目的只

直通 -忽略这个规则，到下一个（有用的统计数据）。

返回 -旁路控制链从那里跳了

设置优先级 -设置优先speciefied新的优先级参数的传输优先级（VLAN或WMM功能的无线接口），能够通过链接发送出去的报文。阅读全文>

带状IPV4选项 -条IPv4的IP头选项字段。

地址列表（字符串，默认） 要使用的地址列表的名称。适用的，如果动作是附加DST-地址列表或SRC添加到地址列表

地址列表超时（时间 ;默认：00:00:00） 时间间隔后的地址从地址列表中指定的地址列表参数将被删除。用于与附加DST地址列表或SRC添加到地址列表的行动

价值00:00:00会留下永远的地址列表中的地址

链（名称，默认） 指定链规则将被添加。如果输入不匹配已定义的链的名称，将创建一个新链。

评论（字符串，默认） 规则的描述性注释。

连接的字节（整数整数 ;默认：） 匹配只有当一个给定的字节量的数据包已经通过特定的连接转移。0 -表示无穷大，例如连接字节= 2000000-0意味着该规则匹配，如果超过2MB已通过相关连接转移

连接限制（整数，netmaks ;默认：） 限制连接限制每地址或地址块/ TD>

连接标记（标记字符串默认：） 匹配杂乱设施，特别是连接标记标记通过。如果没有标志设置，规则将匹配任何无人盯防的连接。

连接速率（整数0 .. 4294967295 ;默认：） 连接速率的防火墙匹配，使目前的连接速度的基础上，捕捉到交通。阅读更多>>

连接状态（estabilished |无效|新|相关 ;默认：） 解释一个特定的数据包连接跟踪分析数据：

建立 -一个数据包属于一个现有的连接

无效 -一个数据包，它不能被识别为某种原因

新 -包已经开始一个新的连接，或其他相关的连接还没有看到数据包在两个方向

相关 -这是关系到一个数据包，但不属于现有的连接，如ICMP错误或开始FTP数据连接的分组

连接类型（FTP | H323 | IRC | PPTP | QUAKE3 | SIP | TFTP默认） 匹配的数据包的基础上，从相关的连接信息从他们的连接跟踪佣工。一个相关的连接帮手/ IP防火墙的服务端口下必须启用

内容（字符串，默认） 匹配包含指定文本

DSCP（整数：0 .. 63 ;默认：） 匹配DSCP，IP报头字段。

DST地址（IP地址/子网掩码| IP范围 ;默认：） 匹配数据包的目的地是到指定的IP或等于落入指定的IP地址范围。

DST地址列表（名称，默认） 匹配的数据包的目的地址与用户定义的地址列表

dst的地址类型（单播|地方|转播|组播 ;默认） 匹配目的地址类型：

用于点对点传输单播 IP地址-

本地 -如果dst的地址被分配给其中一个路由器接口

广播 -数据包被发送到子网中的所有设备

-数据包被转发组播组设备定义

DST限制（整数，时间，整数，DST地址| DST口| SRC地址，时间，默认：） 给个百分点内的匹配数据包限制。反对限制匹配，每一个目的地IP地址/目的端口有它自己的限制。参数都写在格式如下：数量，时间，突发模式，到期。

-最大计数测量每个时间间隔的 数据包的平均包率

时间 -指定的时间间隔，在该数据包率的测量

爆 -不计入由数据包速率的数据包数

模式 -分类的数据包速率限制

过期 -指定的时间间隔后，这条记录IP地址/端口都将被删除

DST端口（整数[整数]：0 .. 65535，默认） 目标端口号或端口号范围一览

片段（yes | no用于默认：） 匹配数据包碎片。首先（起点）片段不计数。如果启用了连接跟踪将不会有碎片系统自动组装每一个数据包

热点（验证从客户端| HTTP本地DST |到客户端 ;默认）

ICMP选项（整数：整数 ;默认：） 与ICMP类型代码fileds的匹配

在桥口（名称，默认） 实际接口的数据包进入路由器，如果输入接口是桥

在接口（名称，默认） 接口的数据包进入路由器

进入优先级（整数：0 .. 63 ;默认：） 匹配入口的数据包的优先级。VLAN，WMM或MPLS EXP位的优先级可能来自阅读更多>>

IPV4选项（任何松散源路由记录路由|路由器警示|没有源路由没有时间戳|无|记录路由路由器警报|严格的源路由|时间戳 ;默认：） 匹配IPv4报头的选项。

任何 -如同数据包与ipv4的选项中的至少一个

松散源路由 -相匹配的与松散源路由选项的数据包。此选项用于路由基于互联网数据报的源提供的信息

没有记录路由 -没有记录路由选项的数据包匹配。此选项用于路由基于互联网数据报的源提供的信息

没有路由器警示 -匹配的数据包，路由器没有改变选项

没有源路由 -匹配的数据包没有源路由选项

没有时间戳 -匹配的数据包没有时间戳选项

路由纪录 -匹配的数据包记录路由选项

路由器警示 -匹配的数据包，路由器另一个选项

严格的源路由 -严格的源路由选项的数据包匹配

时间戳 -匹配的数据包的时间戳

跳目标（名称，默认） 跳转到目标链名称。只适用于行动=跳

Layer7的协议（名称，默认） Layer7的协议菜单 Layer7的过滤器中定义的名称。

限制（整数，时间，整数 ;默认：） 匹配数据包，如果PPS限制超标。参数都写在格式如下：数量，时间，突发。

-最大计数测量每个时间间隔的 数据包的平均包率

时间 -指定的时间间隔，在该数据包率的测量

爆 -不计入由数据包速率的数据包数

日志前缀（字符串，默认） 将指定文本开头的每一个日志消息。适用的，如果行动=日志

新的连接标记（字符串，默认）

新DSCP（整数：0 .. 63 ;默认：）

新MSS（整数默认：）

新的数据包标记（字符串，默认）

新的优先级（整数 ;默认：）

新的路由标记（字符串，默认）

新TTL（递减递增集：整数 ;默认）

第n（整数，整数，默认：） 匹配每n个数据包。阅读更多>>

出桥口（名称，默认） 实际接口的数据包离开路由器，如果出接口为桥

出接口（默认值：） 接口的数据包离开路由器

P2P（P2P |位洪流| blubster直接连接|电驴| FastTrack网络| | Soulseek的GNUTELLA warez的WinMX的默认） 从各种对等（P2P）协议报文匹配。不加密的P2P数据包。

分组标记（标记字符串默认：） 匹配数据包标记通过压延设施与特定的数据包标记。如果没有标志设置，规则将匹配任何标记的数据包。

数据包大小（整数[整数]：0 .. 65535，默认） 以字节为单位指定大小或大小范围的匹配数据包。

每个连接的分类（ValuesToHash：分母/余 ;默认：） PCC匹配允许流量划分为相等的流能力保持在一个特定的数据流中的选项组特定的数据包。阅读更多>>

端口（整数[整数]：0 .. 65535 ;预设：） 任何端口（源或目标）的匹配，如果匹配的端口或端口范围指定列表。仅适用协议是TCP或UDP

协议（名称或协议ID，默认：TCP） 匹配指定的特定IP协议的协议名称或号码

PSD（整数，时间，整数，整数 ;默认：） 尝试检测TCP和UDP扫描。参数是以下格式WeightThreshold，DelayThreshold LopPortWeight，HighPortWeight

-总WeightThreshold的重量，最新的TCP / UDP数据包来自同一主机的不同目的港被视为端口扫描序列

DelayThreshold -被视为可能的端口扫描序列来自同一主机的不同的目的地端口的报文延迟

LowPortWeight -体重的特权（<= 1024）目标端 ??口的报文

HighPortWeight -非具有特权的目的端口的数据包的重量的

随机（整数：1 .. 99 ;默认） 匹配数据包随机给定的概率。

路由标记（字符串，默认） 匹配的数据包标记由杂乱设施与特定的路由标记

SRC地址（IP / Netmaks，IP范围 ;默认：） 匹配的数据包的源等于指定的IP或落入指定的IP地址范围。

SRC地址列表（名称，默认） 匹配的数据包的源地址与用户定义的地址列表

SRC-地址类型（单播|本地|转播|组播 ;默认）

匹配源地址类型：

用于点对点传输单播 IP地址-

-如果本地地址被分配给其中一个路由器接口

广播 -数据包被发送到子网中的所有设备

-数据包被转发组播组设备定义

SRC端口（整数[整数]：0 .. 65535，默认） 源端口和源端口范围的名单。仅适用协议是TCP或UDP。

SRC-MAC地址（MAC地址，默认） 匹配的数据包的源MAC地址

TCP标志（ACK | CWR | ECE | FIN | PSH | RST |同步|的URG ;默认） 匹配指定的TCP标志

ACK -确认数据

CWR -拥塞窗口减少

ECE -回声旗ECN（显式拥塞通知）

鳍 -紧密连接

PSH -推送功能

RST -点连接

同步 -新的连接

URG -紧急数据

TCP-MSS（整数：0 .. 65535 ;默认：） 匹配一个IP数据包的TCP MSS值

时间（时间，星期六|周五|周四|星期三|星期二|星期一|太阳 ;默认：） 允许基于数据包的到达时间和日期创建过滤器或本地产生的数据包，出发时间和日期

TTL（等于大于|少比不等于：整数（0 .. 255） ，默认：） 匹配的数据包的TTL值。

/ IP防火墙过滤器打印的统计会显示额外的只读属性

财产 描述

字节（整数） 总额字节匹配规则

报文（整数） 匹配规则的数据包总量

默认情况下，打印相当于打印静态和只显示静态规则。

[管理员@ dzeltenais_burkaans] / IP防火墙裂伤的>打印统计

标志：X  - 禁用，我 - 无效的，D  - 动态 

 ＃   

要打印，动态规则使用打印所有。

[管理员@ dzeltenais_burkaans] / IP防火墙Mangle>打印所有统计

标志：X  - 禁用，我 - 无效的，D  - 动态 

 ＃链行动字节包        

 0预路由标记路由17478158 127631         

 1预路由标记路由782505 4506           

 2 D正向变化MSS 0              

 3 D正向变化MSS 0              

 4 D正向变化MSS 0              

 5 D正向变化MSS 129372 2031  

或者只打印动态规则使用打印动态

[管理员@ dzeltenais_burkaans] / IP防火墙Mangle>打印统计动态 

标志：X  - 禁用，我 - 无效的，D  - 动态 

 ＃链行动字节包        

 0 D正向改变MSS 0 0              

 1个D正向变化MSS 0              

 2 D正向变化MSS 0              

 3 D前锋变化MSS 132444 2079 

财产 描述

重置计数器（ID） 复位统计计数器指定防火墙规则。

重置计数器（） 复位统计计数器所有的防火墙规则。

这是一个众所周知的事实，VPN链路有更小的数据包的大小，由于中间加入开销。一个大的数据包超过MSS的VPN链路与MSS应分段之前发送通过连接那种。但是，当信息包的DF标志置位，就不能进行分段，应该被丢弃。打破路径MTU发现（PMTUD）链接，它可能会导致一系列的问题，包括FTP和HTTP数据传输和电子邮件服务的问题。

减少MSS的数据包通过VPN链接在破PMTUD链接的情况下，解决这个问题。下面的例子演示了如何通过裂伤的MSS值降低：

/ IP防火墙Mangle 

添加了接口的pppoe的输出协议= TCP TCP标志= SYN行动=新变化MSS-MSS = 1300链=正向

标记每个数据包是相当昂贵的资源，特别是如果规则有很多参数来匹配从IP报头或地址列表，其中包含数百个条目。

比方说，我们要

/ IP防火墙轧液

  加链=向前协议= TCP端口= 80 DST地址列表=第一个动作=标记数据包新包标记=第一

  链=转发协议= UDP DST地址列表添加=第二个动作标记新的分组数据包标记=第二

设置看起来很简单，可能会在小型网络中工作，没有问题。现在乘以10的计数规则，新增几百地址列表中的条目，该路由器的流量超过100MB的运行，你会看到CPU使用率迅速增加。对这种行为的原因是每个规则读取每一个数据包的IP头，并试图收集的数据对防火墙规则中指定的参数相匹配。

幸运的是，如果启用了连接跟踪，我们可以使用连接起来，以优化我们的设置。

/ IP防火墙Mangle

  加链=向前协议= TCP端口= 80 DST地址列表=第一个连接状态=新的行动=标记连接\ 

新连接标记=第一

  链=正向连接标志=第一个动作=标记数据包新包标记=第一直通=无

  加链=转发协议= UDP DST地址列表=第二连接状态=新的行动=标记连接\ 

新连接的标记=第二

  链=正向=第二个动作连接标记=标记数据包新包标记=第二个直通=无

现在，第一条规则将尝试匹配数据只有新连接的第一个包的IP头和添加连接标志。下一条规则将不再检查每个数据包的IP头，它只会比较连接标记，从而在较低的CPU消耗。此外，直通=无添加，有助于减少CPU消耗更。