⚡ alacsony
| Opció | Alapértelmezett érték | CPU igény | Magyarázat |
|---|---|---|---|
| Feketelista (multiduplikator) | Kikapcsolva | ⚡⚡ közepes | Külső fenyegetés intelligencia lista letöltése és blokkolása. Heti frissítés. |
| Feketelista INPUT chainen | Kikapcsolva | ⚡ alacsony | A router admin felületeinek (SSH, WinBox) védelme a feketelistás IP-k ellen. |
| Portszkennerek detektálása | Kikapcsolva | ⚡⚡ közepes | FIN, NULL, XMAS portszkennelés észlelése és 1 órás tiltás. |
| DDoS védelem | Kikapcsolva | ⚡⚡ közepes | Új kapcsolatok korlátozása (200/10s) forrás-cél páronként. |
| Honeypot csapdaportok | Kikapcsolva | ⚡ alacsony | Meghatározott portok elérésének naplózása és trap_list listázás. |
| Trap_list tiltása INPUT-on | Kikapcsolva | ⚡ alacsony | A honeypot által észlelt IP-k azonnali tiltása a router elérésében. |
| Családbarát DNS | Kikapcsolva | ⚡ alacsony | Külső szűrő DNS (pl. OpenDNS) használata felnőtt tartalmak blokkolásához. |
| Kényszerített DNS | Kikapcsolva | ⚡ alacsony | Minden DNS kérés a router cache-re irányítása – kliensek nem használhatnak saját DNS-t. |
| Saját DNS blokkoló lista | Kikapcsolva | ⚡ alacsony | Egyedi domainek 0.0.0.0-ra irányítása (blackhole). |
| Közösségi média blokkolás | Kikapcsolva | ⚡⚡⚡ magas | Layer7 szűrés a kiválasztott platformokra (Facebook, Instagram, TikTok, Twitter stb.). |
| Játék szerverek blokkolása | Kikapcsolva | ⚡⚡⚡ magas | Layer7 szűrés a játékplatformokra (Steam, Roblox, Epic, Xbox, PlayStation stb.). |
| Videómegosztók & stream blokkolása | Kikapcsolva | ⚡⚡⚡ magas | Layer7 szűrés (YouTube, Netflix, Disney+, Twitch stb.). |
| Android áruházak blokkolása | Kikapcsolva | ⚡⚡⚡ magas | Layer7 szűrés a Google Play, Samsung Store, Huawei AppGallery stb. elérésének blokkolására. |
| Távoli elérés blokkolás | Kikapcsolva | ⚡⚡⚡ magas | TeamViewer, AnyDesk, VNC, RustDesk, Parsec stb. forgalmának blokkolása (kimenő/bejövő). |
| Torrent blokkolás | Kikapcsolva | ⚡⚡ közepes | BitTorrent DHT, info_hash és felirat alapján. |
| Windows Update blokkolás | Kikapcsolva | ⚡ alacsony | Megakadályozza a Windows Update letöltését (céges környezetben). |
| Vírus/féreg lánc | Kikapcsolva | ⚡ alacsony | Blokkolja az ismert kártevők portjait (Blaster, Sasser, MyDoom stb.). |
| Spam blokkolás | Kikapcsolva | ⚡⚡ közepes | Túl sok SMTP kapcsolat észlelése és a forrás tiltása. |
| Memcrashed | Kikapcsolva | ⚡ alacsony | UDP 11211 port blokkolása – DDoS reflektor támadások ellen. |
| Bogon IP-k blokkolása | Kikapcsolva | ⚡ alacsony | Nem routeolható és privát IP-k tiltása a WAN interfészen (spoofing ellen). |
| IPTV (IGMP proxy) | Kikapcsolva | ⚡ alacsony | Multicast IPTV támogatás (IGMP, 224.0.0.0/4). |
| GeoIP blokkolás | Kikapcsolva | ⚡⚡ közepes | Meghatározott országok IP tartományainak tiltása (heti frissítés). |
| DoH (DNS over HTTPS) blokkolás | Kikapcsolva | ⚡ alacsony | Ismert DoH szerverek domainjeinek blokkolása (dns.google, cloudflare-dns.com stb.). |
| STUN/TURN (WebRTC) blokkolás | Kikapcsolva | ⚡ alacsony | STUN/TURN szerverek blokkolása (WebRTC alapú kommunikáció megakadályozása). |
| Ransomware: SMB kifelé (445) | Kikapcsolva | ⚡ alacsony | Megakadályozza a zsarolóvírus terjedését SMB-n keresztül. |
| Ransomware: RDP kifelé (3389) | Kikapcsolva | ⚡ alacsony | Blokkolja a kifelé irányuló RDP kapcsolatokat (távoli támadások ellen). |
| Ransomware: C2 domainek | Kikapcsolva | ⚡ alacsony | Ismert zsarolóvírus parancs- és vezérlő szervereinek DNS blokkolása. |
| Fehérlista (whitelist) | Kikapcsolva | ⚡ alacsony | Megadott IP-k/alhálózatok kivétele a tiltások alól (legmagasabb prioritás). |
| Távoli naplózás (syslog) | Kikapcsolva | ⚡ alacsony | Tűzfalesemények küldése külső syslog szerverre. |
| Riasztás e-mailben | Kikapcsolva | ⚡ alacsony | E-mail értesítés brute force, portscan, DDoS eseményekről. |
| Port forward (DST-NAT) | Kikapcsolva | ⚡ alacsony | Bejövő portok átirányítása belső szerverekre. |
| Automatikus frissítés (RouterOS & firmware) | Kikapcsolva | ⚡ alacsony | Rendszeres ellenőrzés és automatikus frissítés – ajánlott stabil csatornán. |
| Fasttrack (teljesítmény) | BE (mindig aktív) | ⚡ nagyon alacsony | Estabilished/related kapcsolatok fasttrackelése – kikerüli a connection trackinget. |
| Opció | Alapértelmezett érték | CPU igény | Magyarázat |
|---|---|---|---|
| 2.4 GHz engedélyezése | Kikapcsolva | ⚡ alacsony | 2.4 GHz sáv használata – jobb faláteresztés, több zavar. |
| 5 GHz engedélyezése | Kikapcsolva | ⚡ alacsony | 5 GHz sáv használata – nagyobb sebesség, kevesebb zavar, rosszabb faláteresztés. |
| Csatorna szélesség (2.4 GHz) | 20/40 MHz | ⚡ alacsony | Szélesebb csatorna = nagyobb sebesség, de több interferencia. |
| Csatorna szélesség (5 GHz) | 80 MHz | ⚡ alacsony | 80 MHz ajánlott a legjobb sebességhez. |
| Band steering | Kikapcsolva | ⚡ alacsony | Az eszközöket automatikusan az 5 GHz sávra irányítja (ha be van kapcsolva). |
| Fast Transition (802.11r) | Kikapcsolva | ⚡ alacsony | Gyors roaming mesh hálózatokban. |
| WPS kikapcsolása | Kikapcsolva | ⚡ alacsony | Biztonsági okokból minden VAP-on letiltásra kerül (wps-mode=disabled). |
| Hitelesítési mód | WPA2-PSK | ⚡ alacsony | Legjobb kompatibilitás. WPA3 csak új eszközöknek. |
| Titkosítás | AES-CCM | ⚡ alacsony | Biztonságos és gyors. GCMP WPA3-hoz, TKIP elavult. |
| Group key update (óra) | 1 óra | ⚡ alacsony | Gyakoribb kulcscsere = biztonságosabb, de kis terhelés. |
| Management Frame Protection (PMF) | Kikapcsolva | ⚡ alacsony | Védelem deauth támadások ellen, WPA3 esetén kötelező. |
| VLAN szűrés | Kikapcsolva | ⚡ alacsony | VLAN-ok elkülönítése a bridge-en (szükséges vendég hálózatokhoz). |
| IGMP snooping | Kikapcsolva | ⚡ alacsony | Multicast forgalom optimalizációja (IPTV, streaming). |
| DHCP a bridge-en | Kikapcsolva | ⚡ alacsony | Automatikus IP-cím kiosztás a LAN-on. |
| Minimális jelerősség (signal strength) | Kikapcsolva | ⚡ alacsony | Gyenge jelű kliensek leválasztása (megadott dBm alatt). |
| Mesh hálózat (WDS + HWMP+) | Kikapcsolva | ⚡ alacsony | Rádiós linkek a HWMP+ protokollal. Mesh Portal = bridge interfész. |
| CAPsMAN (központi vezérlés) | Kikapcsolva | ⚡ alacsony | Több AP központi kezelése (manager vagy CAP mód). |
Mit csinál? Külső, folyamatosan frissülő IP cím listákat tölt le (pl. ismert támadók, botnetek, spammer IP-k), és blokkolja a forgalmukat. Három méret közül választhatsz: Lite (~5k IP), Standard (~20k IP) vagy Full (~70k IP).
Hogyan véd? Megakadályozza, hogy a rosszindulatú IP-k elérjék a belső hálózatodat vagy magát a routert. A lista hetente automatikusan frissül.
CPU terhelés: 🔥🔥 Közepes – minél nagyobb a lista, annál több memória és CPU szükséges a kereséshez.
Mikor ajánlott? Alapértelmezett védelemnek kiváló. Otthoni és kis irodai környezetben a Standard méret ajánlott. Csak akkor kapcsold ki, ha a router nagyon gyenge (pl. RB750), vagy ha sok saját szabályod van.
💡 Tipp: Az INPUT chain védelem külön opció – ha bekapcsolod, a router admin felületeit (WinBox, SSH, web) is védi a feketelistás IP-k ellen.
Mit csinál? Észleli a portszkennelési technikákat (FIN, NULL, XMAS scan) és automatikusan letiltja a támadó IP-t 1 órára. Emellett korlátozza az új kapcsolatok számát forrás-cél páronként (alapértelmezetten 200 kapcsolat / 10 másodperc).
Hogyan véd? A portszkennerek felderítése megnehezíti a támadók számára a nyitott portok feltérképezését. A DDoS védelem megakadályozza, hogy egyetlen gépről túl sok kapcsolatot nyissanak (pl. SYN flood).
CPU terhelés: 🔥🔥 Közepes – a kapcsolatkövetés és a mintázatfelismerés erőforrásigényes.
Mikor ajánlott? Mindenképp bekapcsolandó, ha a router közvetlenül éri a WAN-t. Ha nagyon nagy forgalmú szerver vagy, a DDoS küszöböt érdemes növelni (pl. 500).
Mit csinál? Meghatározott TCP vagy UDP portokat figyel a WAN interfészen. Ha valaki megpróbál csatlakozni ezekhez a portokhoz, a forrás IP azonnal felkerül egy trap_list listára, és opcionálisan letiltásra kerül az INPUT chainen.
Hogyan véd? Kiválóan alkalmas a véletlen vagy szándékos portvizsgálatok azonosítására. A csapdába esett IP-ket automatikusan eltávolítja a router eléréséből.
CPU terhelés: 🔥 Alacsony – csak a megadott portokon naplóz.
Mikor ajánlott? Ha szereted tudni, hogy ki portolja a routered. Hasznos lehet az adminisztrátorok számára, de önmagában nem teljes értékű védelem.
Mit csinál? A router DNS-ét külső szűrő DNS szolgáltatókra állítja (Cloudflare Family, OpenDNS Family Shield, Quad9, CleanBrowsing, stb.). Ezek a szolgáltatók blokkolják a felnőtt tartalmakat, erőszakot, drogot, és néhányuk a kártevőket is.
Hogyan véd? Mivel a DNS-kérések ezekhez a szerverekhez mennek, a nem kívánt domainek név szerint nem oldódnak fel. A "Kényszerített DNS" opció minden belső kliens DNS kérését átirányítja a router cache-ébe, így nem lehet kikerülni a szűrést.
CPU terhelés: 🔥 Alacsony – csak a DNS proxy és cache használata.
Mikor ajánlott? Családi hálózatokban, iskolákban, vendég Wi-Fi-nél. Ne feledd: csak a DNS-t szűri, aki saját DoH-t vagy VPN-t használ, az kikerülheti.
Mit csinál? Saját magad adhatsz meg domaineket (pl. facebook.com), amelyeket a router 0.0.0.0-ra (vagy ::-ra) old fel – gyakorlatilag elérhetetlenné teszi őket.
Hogyan véd? Nem véd, hanem korlátoz. Kiválóan alkalmas reklámok, felesleges oldalak vagy veszélyes domainek tiltására.
CPU terhelés: 🔥 Alacsony – csak statikus DNS bejegyzések.
Mikor ajánlott? Ha pontosan tudod, hogy mely oldalakat akarod blokkolni. Kombinálható a családbarát DNS-sel.
Mit csinál? Layer7 szűréssel felismeri és blokkolja a kiválasztott közösségi platformok (Facebook, Instagram, TikTok, Twitter, Discord, stb.) forgalmát. Támogatja az időzítést (pl. csak munkaidőben tiltson).
Hogyan működik? A router a csomagok tartalmában (HTTP Host fejléc, TLS SNI) keresi a platformokra jellemző mintázatokat. Ha talál, a csomag eldobásra kerül.
CPU terhelés: 🔥🔥🔥 Magas – a Layer7 regex illesztés nagy erőforrásigényű. Erős CPU-t igényel (pl. CCR, vagy legalább 1000-es sorozat).
Mikor ajánlott? Ha fontos a koncentráció (pl. iskolák, könyvtárak). Használd csak erős routeren, és lehetőleg időzítéssel, hogy éjszaka kikapcsoljon.
Mit csinál? A fentihez hasonlóan Layer7 szűréssel blokkolja a játékplatformokat (Steam, Roblox, Epic, Xbox Live, PlayStation Network, stb.).
CPU terhelés: 🔥🔥🔥 Magas – ugyanaz, mint a közösségi médiánál.
Mikor ajánlott? Céges környezetben, gyermekvédelemben, vagy ha a játék zavarja a munkát. Ne használd nagyon gyenge routeren.
Mit csinál? Blokkolja a streaming szolgáltatásokat (YouTube, Netflix, Disney+, Twitch, TikTok videók, stb.).
CPU terhelés: 🔥🔥🔥 Magas.
Mikor ajánlott? Ha a sávszélesség korlátozott, vagy ha meg akarod akadályozni a videó streamelést munkaidőben. Ismét csak erős hardverre van szükség.
Mit csinál? Megakadályozza a Google Play, Samsung Store, Huawei AppGallery, Xiaomi GetApps stb. elérését.
CPU terhelés: 🔥🔥🔥 Magas.
Mikor ajánlott? Iskolai vagy céges eszközökön, ahol nem kívánatos az alkalmazások telepítése. Figyelem: a jól konfigurált Android készülékek más áruházat is használhatnak (pl. Aurora).
Mit csinál? Blokkolja a TeamViewer, AnyDesk, VNC, RustDesk, Parsec, stb. forgalmát. Beállíthatod, hogy csak kimenő, csak bejövő vagy mindkét irányban tiltson.
CPU terhelés: 🔥🔥🔥 Magas (Layer7).
Mikor ajánlott? Céges hálózatban, ahol nem engedélyezett a nem felügyelt távoli elérés. Segít megelőzni az adatszivárgást és a jogosulatlan hozzáférést.
Lehetővé teszi, hogy a WAN felől érkező forgalmat egy adott porton átirányítsd egy belső szerverre (pl. web szerver 80-as port, SSH 22). Több szabály is megadható, TCP és UDP protokollal.
CPU terhelés: 🔥 Alacsony – csak NAT szabályok.
Ez az összefoglaló bemutatja, hogy az egyes bekapcsolt funkciók hogyan terhelik a RouterOS-t, mennyi CPU-t és memóriát igényelnek, és milyen hardveren ajánlott őket használni. A RouterBoard típusától függően a hatások drámaian eltérhetnek.
Mit csinál a RouterOS-ben? A fasttrack szabály kiveszi a már megnyitott (established/related) kapcsolatokat a connection tracking alól. A csomagokat közvetlenül a gyorsított útvonalon továbbítja, anélkül, hogy a firewall szabályok újra ellenőriznék.
Hatása a teljesítményre: Hatalmas – akár 3-5-szörös sebességnövekedés is elérhető. Csökkenti a CPU terhelést és a memóriahasználatot. Mindenképpen hagyd bekapcsolva, hacsak nincs speciális okod kikapcsolni.
Milyen Routeren várható? Minden RouterOS-eszközön előnyös, különösen alacsony kategóriás modelleken (pl. hAP lite, RB750) az 50-100 Mbps feletti forgalomhoz.
Mikor kapcsold ki? Ha olyan tűzfalszabályokat használsz, amelyeknek a kapcsolat minden csomagját látniuk kell (pl. réteg7 szűrés, időzítés, DDoS védelem). A fasttrack kikerüli ezeket a szabályokat.
Hogyan működik? A letöltött IP cím lista (akár 70k IP) az address-list táblába kerül. Minden egyes bejövő csomag forrását összehasonlítja ezzel a listával (O(n) keresés, de a RouterOS hash táblát használ).
Hatása:
Figyelem! Ha bekapcsolod az INPUT chain védelmet is, a router saját admin forgalmát is szűri – ez plusz terhelés, de véd a router elleni támadásoktól.
Milyen routeren ne használd a Full listát? RB750 (csak 32 MB RAM) – belassulhat, sőt összeomolhat a connection tracking túlcsordulás miatt.
Portszkennelés detektálás: A router minden egyes TCP kapcsolatra nézi a flag kombinációkat (FIN, NULL, XMAS). Ez minden csomagon végrehajtott művelet. Nagy forgalomnál (500 Mbps felett) már érezhető CPU terhelést okoz. Ha nincs portszkennelési probléma, érdemes kikapcsolni.
DDoS védelem: A dst-limit és a kapcsolatszámlálás a connection trackingben tárolt információkat használja. Ez növeli a connection tracking tábla méretét. Ha sok új kapcsolat van (pl. P2P, torrent), a tábla gyorsan megtelhet, és a router elkezdi eldobni a kapcsolatokat. A küszöbérték (alap: 200/10s) túl alacsony lehet nagyon aktív hálózaton – 500-1000-re érdemes állítani.
Mikor veszélyes? Ha a router már alapból közel van a connection tracking limithez (pl. 30-50k kapcsolat), a DDoS védelem további 20-30% memóriát fogyaszt. Ilyenkor növeld a limitet a /ip firewall connection tracking set max-entries=... paranccsal.
Hogyan működnek? A RouterOS minden egyes csomag tartalmát (akár a teljes TCP folyamot) összehasonlítja egy regex mintával. Ez a leginkább erőforrásigényes feladat a tűzfalon belül.
Hatása:
Legrosszabb eset: Több layer7 szabály egyszerre (pl. social + games + video). A CPU akár 5-10 másodpercre is 100%-on ragadhat, ami a router újraindulásához vezethet (watchdog).
Ajánlás: Csak akkor kapcsold be, ha tényleg szükséges, és lehetőleg időzítve (pl. csak munkaidőben). Gyenge routeren (RB750, hAP lite) egyáltalán ne használd.
Hogyan működik? Letölti az országok IP tartományait (pl. Oroszország: ~5k IP blokk, Kína: ~10k blokk). Ezeket az address-list táblába helyezi. A forgalomszűrés hasonló a feketelistához: minden csomagot ellenőriz.
Hatása:
Mikor érdemes? Ha sok támadás érkezik bizonyos országokból (pl. Kína, Oroszország), akkor hasznos. De inkább a "tiltott országok" listáját tartsd rövidre (max 3-4 ország).
Hatása: Gyakorlatilag nulla. A DNS cache és a statikus bejegyzések memóriában tárolódnak, a CPU csak a kérések átirányításakor dolgozik. Még a leggyengébb routeren is használható (RB750, hAP lite).
Figyelem: Ha bekapcsolod a "Kényszerített DNS" NAT szabályt, az minden egyes belső kliens DNS kérését átirányítja a router cache-ébe. Ez kis plusz CPU-t jelent (mert minden UDP 53-as csomagot módosítani kell). De még így is elhanyagolható.
Hogyan működik? A router rendszeresen ellenőrzi a csatlakozott kliensek jelerejét (RSSI). Ha egy kliens jelerőssége a megadott dBm érték alá csökken, az access list alapján a router leválasztja a klienst (deauth). A kliens ezután megpróbál újracsatlakozni – ha a jel továbbra is gyenge, folyamatosan fog csatlakozni/lecsatlakozni.
Hatása a CPU-ra: Minimális – a WiFi driver kezeli, nem a CPU. Viszont ha túl alacsony a küszöb (pl. -60 dBm), akkor a hatótávolság drámaian lecsökken, és a kliensek folyamatosan roamingolnak (ami növelheti a CPU terhelést, mert a router sűrűn kezeli a kapcsolatokat).
Ajánlott értékek: -75 dBm (alapértelmezett) lakossági környezetben, -70 dBm irodában, -65 dBm sűrűn lakott területen. Ne menj -50 alá, mert a legtöbb kliens nem fog tudni csatlakozni.
HWMP+ hatása: A mesh routing protokoll (HWMP+) periodikus üzeneteket vált a mesh tagok között (path discovery, path maintenance). Ez plusz CPU terhelést jelent, különösen ha sok mesh node van (10+). Alacsony forgalomnál észrevehetetlen, de 100 Mbps felett már 5-10% pluszt jelenthet.
CAPsMAN hatása: Manager módban a router folyamatosan konfigurációkat küld a CAP eszközöknek, és fogadja a státuszjelentéseket. Ez minimális CPU (kivéve ha sok CAP van, 20 felett). CAP módban gyakorlatilag nincs plusz terhelés.
A fasttrack kikerüli a connection tracking-et, ami a legtöbb tűzfalszabály (layer7, portscan, DDoS, időzítés) működéséhez szükséges. Ha bekapcsolsz bármilyen olyan szabályt, ami a connection tracking-et igényli, a fasttrack nem fog alkalmazódni az adott forgalomra. Ez jelentős teljesítménycsökkenést okozhat – akár 50-80%-ot is.
Példa: Egy hAP ac2 fasttrackkel 500 Mbps-t is képes továbbítani. Ha bekapcsolod a layer7 social blokkolást, ugyanez a router 150 Mbps-re eshet vissza, mert a kapcsolatokat a connection trackingben kell tartani, és minden csomagot meg kell vizsgálni.
Megoldás: Ha szükséged van ilyen szűrésre, próbáld meg a lehető legkevesebb layer7 szabályt használni, és lehetőség szerint csak bizonyos forgalomra (pl. csak a vendég VLAN-on).
| Funkció | RB750 / hAP lite (32MB RAM, 400MHz) | hAP ac2 / RB750Gr3 (256MB RAM, 880MHz) | RB4011 / CCR (1GB+ RAM, több mag) |
|---|---|---|---|
| Feketelista (Full) | 🚫 Nem ajánlott | ⚠️ Közepes terhelés | ✅ OK |
| Layer7 szűrés | 🚫 Soha – összeomlik | ⚠️ 100 Mbps-ig | ✅ 300-500 Mbps-ig |
| DDoS / portscan | ⚠️ 50 Mbps-ig | ✅ 200 Mbps-ig | ✅ 1 Gbps-ig |
| GeoIP (5 ország) | ⚠️ Közepes memória | ✅ OK | ✅ OK |
| Családbarát DNS | ✅ Mindenhol | ✅ | ✅ |
| Mesh / CAPsMAN | ⚠️ 5 node-ig | ✅ 10-15 node | ✅ 50+ node |
A fenti értékek tájékoztató jellegűek, a valós teljesítmény függ a forgalom típusától, a szabályok számától és a konkurens feladatoktól (pl. VPN, queue).
// A generált RouterOS szkript itt jelenik meg