Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

RouterBOARD 750GL

https://forummikrotik.ru/viewtopic.php?t=1439

Страница 1 из 1

RouterBOARD 750GL

Добавлено: 11 июн 2012, 02:14
Dragon_Knight
Дома пока стоит такой девайс: RouterBOARD 750GL.
Меня интересует какая реальная пропускная способность этого роутера в режиме: PPPoE + Firewall (30 правил, 15 нат).

Сегодня, когда стали тестировать HTTP сервер, при скорости ~ 30.000 p\s и ~ 10 Mbps, роутер был загружен на 100%, при этом полностью отвалился интернет за NAT, и попасть в роутер получилось только после вытыкания WAN (не конектился).


PS> Плюс ко всему заметил что тарпит не работает, если указать "chain=input".

Код: Выделить всё

add action=tarpit chain=input connection-limit=1,32 disabled=no dst-port=80 in-interface=WAN-main-PPPoE protocol=tcp

И только работает, если указать "chain=forward", но как я понимаю это немного другой смысл и бо'льшая нагрузка.

PSS> Причём не только тарпит. Вот пример с вики:

Код: Выделить всё

add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="detect and drop port scan connections" disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit comment="suppress DoS attack" disabled=no
add chain=input protocol=tcp connection-limit=10,32 action= add-src-to-address-list address-list=black_list  address-list-timeout=1d comment="detect DoS attack" disabled=no

Работает только детектор сканера портов, хотя делаю DoS и во вкладке "Connections" огромное кол-во подключений.

Может быть я что-то упустил? Правила находятся в самом вверху. Проша 5.17.

Re: RouterBOARD 750GL

Добавлено: 12 июн 2012, 16:30
iSupport
Для понимания файрвола обратитесь в вики http://wiki.mikrotik.com/wiki/Firewall

Re: RouterBOARD 750GL

Добавлено: 15 июн 2012, 08:02
Dragon_Knight
iSupport, да, спасибо, ознакомился, хотя и не совсем понятно, но в общих чертах понятно.
Мне просто казалось, что input это когда трафик тока входит в интерфейс, output - выходит.
Сделал через "chain=forward".

Но вопрос с производительностью остался.
В таблице в доках указано почти 40к пакетов в секунду, и мне не совсем понятно, что например будет, если будет атака в 100к fps, но все пакеты будут попадать в тарпит, или дропаться.

Re: RouterBOARD 750GL

Добавлено: 17 июн 2012, 12:20
iSupport
тарпит грузит процесор, так как подвешивает соединение и не присылает ответ

а дроп просто сбрасывает и забывает

на Вашей модельке лучше использовать дроп
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB