Загрузка Mikrotik 100%

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

alterak писал(а): 16 фев 2018, 12:03 Так по количеству пакетов для правила видно же, что пакеты почти не летят-)
Вот есть например 9-е правило, в котором открыты несколько TCP портов, видно что по этому правилу за 2 минуты аптайма пролетело всего 20 пакетов, всего 20!!! Так смысл ковырять конечные сервисы, на которые трафик просто не идет-)
А вот 14-е правило, которое обрубает все соединения как раз и грузит проц-)
Согласно таблице прохождения пакетов внутри микротика, сначала срабатывают правила DSN-NAT и только потом
уже пакет доходит до Filtres, поэтому ещё раз проверяйте что Вы там по-открывали и что за порты проброс делали!
(табличка http://www.mikrotik-trainings.com/docs/ ... ting24.jpg)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

Vlad-2 писал(а): 16 фев 2018, 12:16 Согласно таблице прохождения пакетов внутри микротика, сначала срабатывают правила DSN-NAT и только потом
уже пакет доходит до Filtres, поэтому ещё раз проверяйте что Вы там по-открывали и что за порты проброс делали!
(табличка http://www.mikrotik-trainings.com/docs/ ... ting24.jpg)
У NAT пакеты тоже не летят, это в первую очередь проверял

Изображение


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Vlad-2 писал(а): 15 фев 2018, 22:01 Ну и надеюсь на микротике отключили лишние сервисы? (фтп,телнет, www, ssh) чтобы не дразнить китайцев ?
А какая разница активен сервис или нет? Пакетик то получен, и микр его обработать должен ...
Тут грустно все ...

И да, кучу сессий лучше не в ff грохать а в RAW


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

enzain писал(а): 16 фев 2018, 23:18 А какая разница активен сервис или нет? Пакетик то получен, и микр его обработать должен ...
Тут грустно все ...
Я в отличии от многих тут ещё использую каналы, которые считаются провайдером по-мегабайтно
И знаю что такое атаки и флуды и как счётчик рублей расходуется :)))
enzain писал(а): 16 фев 2018, 23:18 И да, кучу сессий лучше не в ff грохать а в RAW
Ну до этого начинающим надо дорасти, пока рано им это....
пусть пройдут путь понимая, ощущения и изучения логики.
:-)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Скажу сразу, - тему чилал очень бегло...
Но NTP имеет дырку, со времён его написания и никто её фиксить не будет. Дырка в том, что если чуть чуть подправить пакет запроса, ответ сервера будет в тысячи раз длиннее. Теперь Мы меняем адрес источника на адрес жертвы и получаем что Вы выполняет DoS атаку кого-то, даже не подозревая об этом.
с DNS ситуация почти похожа, + есть ещё сахар для атакующего.

Вам нужно сделать следующее, - разместить в самом начале фаервола:

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=drop chain=output comment="Drop invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
add action=drop chain=input comment="Drop external DNS connections" dst-port=53 in-interface=WAN protocol=udp
add action=drop chain=input comment="Drop external DNS connections" dst-port=53 in-interface=WAN protocol=tcp
add action=drop chain=input comment="Drop external NTP connections" dst-port=123 in-interface=WAN protocol=udp src-address-list=!NTPServers

/ip firewall address-list
add address=88.147.254.228 list=NTPServers
add address=88.147.254.232 list=NTPServers
где "NTPServers" это IP адреса NTP серверов, с которыми Вы синхронизируете ваш микротик, а 'WAN' - это Ваш интерфейс выхода в мир.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить