Você já passou por isso: você compra uma CCR parruda, coloca em produção e, no primeiro ataque volumétrico ou port scan mais agressivo, a CPU vai a 100% e a latência da rede sobe. A primeira reação é culpar o hardware. “Essa caixa não aguenta”. Mas, na maioria das vezes, o problema não é o processador. O problema é onde você está pedindo para ele trabalhar.
Se você configura todas as suas regras de bloqueio na tabela tradicional de Filter, você pode estar desperdiçando recursos valiosos. Hoje, vamos desmistificar a diferença entre Firewall RAW e Firewall FILTER no RouterOS e como usar isso para salvar sua rede.
Connection Tracking
Para entender a diferença, precisamos falar sobre o “cérebro” do firewall: o Connection Tracking (ou conntrack).
O Connection Tracking é o recurso que permite ao roteador saber o estado de uma conexão (se é nova, se já está estabelecida, se é relacionada a outra). Ele cataloga cada pacote que entra, consome memória e ciclos de CPU para manter essa tabela atualizada.
1. Firewall RAW:
A tabela RAW atua na fase de Prerouting, ou seja, ANTES do Connection Tracking.
Quando você cria uma regra de drop no RAW, o roteador descarta o pacote imediatamente, sem nem se dar ao trabalho de verificar se aquela conexão existe, de onde veio ou para onde vai. Ele não aloca memória para rastrear aquilo. É um processo “Stateless” (sem estado).
Imagine um segurança na calçada da balada. Se a pessoa não tem ingresso, ele barra ali mesmo. A pessoa nem entra na fila, nem chega na porta principal. Isso gera para o roteador MikroTik uma economia absurda de CPU em momentos de estresse.
2. Firewall FILTER:
A tabela FILTER (nas chains Input ou Forward) atua DEPOIS do Connection Tracking.
Aqui, o roteador já gastou energia analisando o pacote, classificando-o como New, Established ou Related. O Filter é inteligente; ele entende o contexto. Ele permite regras complexas como “permita acesso à porta 8291 apenas se a conexão vier de tal lugar e não for nova”.
É o segurança dentro do evento, verificando se quem já entrou está se comportando bem ou se tem permissão para entrar na área VIP. Se você usa o Filter para bloquear um ataque DDoS de 500Mbps, seu roteador terá que catalogar (conntrack) todo esse lixo antes de descartá-lo. Isso mata a CPU.
Resumo Estratégico
Para otimizar seu provedor ou rede corporativa, adote esta hierarquia mental:
- LIXO e VOLUME vão no RAW: Se é tráfego indesejado, ataque ou IP de reputação ruim, mate o pacote o mais cedo possível. Não deixe ele consumir recursos do conntrack.
- POLÍTICA e CONTROLE vão no FILTER: Se é uma decisão de permissão baseada em segurança interna ou estado da conexão, use o Filter.
Conclusão
Hardware é importante, mas configuração eficiente é o que separa uma rede estável de uma rede que cai. Revisar suas regras de firewall e mover bloqueios massivos para a tabela RAW é uma das formas mais rápidas e baratas de ganhar performance no MikroTik.
E você? Já salvou uma CCR movendo regras para o RAW ou ainda joga tudo no Filter por hábito? Deixe seu comentário abaixo!
Sobre o autor: Clauderson Pereira/CEO da CTECH SOLUTIONS ajuda empresas e provedores a otimizarem suas redes com segurança e inteligência.
#MikroTik #RouterOS #Redes #ISP #EngenhariaDeRedes #CyberSecurity #DDoS #Networking #TechTips