Добрый день. RB2011UIAS-RM - 2 шт. 2 подсети. На каждую сеть написаны одинаковые правила на закрытие извне 53 порта. Правила работают. НО - в одной сети по 53 порту практически нет активности, а в другой зашкаливает. Скрины правил и проверки нагрузки прилагаю.
53 порт загружает процессор на 100%
- podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Если процессор загружен, значит правило не работает. Дроп не позволил бы, ну сами подумайте. Другой вопрос, почему оно не работает. Для начала поднимите его повыше, вполне возможно, что какое-то правило перед ним разрешает проход пакетов, и запрет ниже него просто не отрабатывает. Да и вообще, гадать без конфига - ну его на фиг.Давайте конфиг, посмотрим правила.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Для ТС:
Так как моделька не очень мощная, да и в целом флуд-пакеты нам нафиг не нужны,
поэтому совет: перенесите правила дроп-пакетов по 53 порту из основного файрвола
(Filter Rules) в закладку RAW
Там эти правила будут ещё эффективнее и лучше, быстрее отрабатывать.
Ну и разберитесь с самими правилами, где-то ошиблись, Вам правильно подсказали,
если флуд продолжается, значит что правила не срабатывают. Проверьте какой
внешний интерфейс указан у Вас в правилах?!
Так как моделька не очень мощная, да и в целом флуд-пакеты нам нафиг не нужны,
поэтому совет: перенесите правила дроп-пакетов по 53 порту из основного файрвола
(Filter Rules) в закладку RAW
Там эти правила будут ещё эффективнее и лучше, быстрее отрабатывать.
Ну и разберитесь с самими правилами, где-то ошиблись, Вам правильно подсказали,
если флуд продолжается, значит что правила не срабатывают. Проверьте какой
внешний интерфейс указан у Вас в правилах?!
-
- Сообщения: 5
- Зарегистрирован: 19 май 2020, 01:33
Спасибо, что откликнулись. Насчёт правильности написания правил - сейчас ещё раз проверяем, но пока сомнений не вызывает. И да - похоже оно не работает. По списку в FireWall ставили первым. Толку - ноль. Засунем в Raw, посмотрим, что получится. Конфиг подчищу - скину.
-
- Сообщения: 5
- Зарегистрирован: 19 май 2020, 01:33
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Вы так тщательно скрываете все настройки фаревола, будто у вас там номер бансковской карты зашит, со всеми необходимыми реквизитами. Ваши скриншоты вообще не дают представления о происходящим, т.к. правила работают в совокупности. Из всего что вы написали пока вообще ничего не понятно и хоть что-то вразумительное можно будет сказать только после того, как вы покажете экспорт всех правил, о чем вам уже говорили.
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Это нормально. Я даже видео на тел снимал с какой скоростью счетчики дропают пакеты. Потом отстанут от Вас, и правило замолчит. не переживайте)alex777good писал(а): ↑11 июн 2020, 10:26 Заработало. Заработало вот так:
Хрен знает - правильно - не правильно. Решалось методом научного тыка.
Загрузка упала до max 40%. Напрягает количество блокируемых пакетов - 1 000 000 за 1,5 часа.
-
- Сообщения: 5
- Зарегистрирован: 19 май 2020, 01:33
Я всё понимаю, но из соображений безопасности (элементарных), приходится очень тщательно подходить к выкладыванию какой-либо конфиденциальной информации (внешний Ip, название провайдера и т. д.). В данный момент занимаюсь "зачисткой" конфига микрота. Не знаю, буду ли сюда выкладывать, но в любом случае спасибо большое всем за помощь.
-
- Сообщения: 5
- Зарегистрирован: 19 май 2020, 01:33
Успокоил спасибо. Но будем ещё думать о снижении загрузки.Это нормально. Я даже видео на тел снимал с какой скоростью счетчики дропают пакеты. Потом отстанут от Вас, и правило замолчит. не переживайте)
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Мы просим конфиг, а не белый адрес и название провайдера. Хотя и эта информация мягко говоря ничего не даст.alex777good писал(а): ↑11 июн 2020, 14:57 Я всё понимаю, но из соображений безопасности (элементарных), приходится очень тщательно подходить к выкладыванию какой-либо конфиденциальной информации (внешний Ip, название провайдера и т. д.). В данный момент занимаюсь "зачисткой" конфига микрота. Не знаю, буду ли сюда выкладывать, но в любом случае спасибо большое всем за помощь.
От названия провайдера можно частично понять что или какой тип протокола используется для подключения,
и то, у одних крупных провайдерах в одних районах и городах один тип подключения, в других - другой.
Так что Ваша фраза про безопасность данных - честно, насмешили меня.
В конфиге достаточно скрыть пароли, белые адреса если есть, ну и МАКи (и то это я считаю это лишним) и всё.
Без конфига давать советы, всё равно что лечиться у врача, ничего ему не говоря.
Увы, но помощь без диалога не бывает.
P.S.
Мой конфиг роутера уже с 1,3 мегабайта весит, там много чего нахимичено, и если мне его и показывать,
я кроме паролей, и адресов, скрою ещё и комментарии, ибо у меня в комментариях написано
куда какой интерфейс/туннель на кого подключён (имя человека) и так далее, вот там да, лично-интимная информация.
А конфиг, конфигурация = это набор правил как должен работать роутер.
Так что разделяйте приватную и общую информации.
Так же не забываем, что есть команда которая делает экспорт с полным удалением приватной информации.