PPPoE постоянно нагружено на максимуме

Обсуждение оборудования и его настройки
Ответить
Сержа
Сообщения: 61
Зарегистрирован: 03 июн 2013, 06:32

Всем привет!
Подскажите у меня соединение PPPoE постоянно нагружено :du_ma_et:
Если зайти в Interface там видно что Tx показывает 7 Мбит с потра ether1 куда подключен провайдер.
Интернет раздается по проводам через остальные 4 порта и они не нагружены вообще.
В Torch видно что внешник грузят IP адреса, они меняются после перезагрузки
Что делать и как быть подскажите пож!? :ne_vi_del:
Сп

Изображение

Изображение

Провайдеру позвонил они как всегда послали сказали что мы не несем ответственности! ((
Последний раз редактировалось Сержа 28 май 2015, 09:28, всего редактировалось 1 раз.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Видимо Ваше устройство подвержено флуду, загораживайте 53-ий порт, он самый любимый среди флудильщиков.... Хотя быть может на какой либо из машин поселился зловред и генерит трафик.... Смотрите что у Вас творитсе в фаерволе на вкладке "Connections"
И когда выкладываете скрины на форумы, старайтесь загораживать свои внешние адреса ;)
==
Правило фильтрации 53-го порта будет примерно таким:
add action=drop chain=input dst-address-list=external_ip dst-port=53 protocol=udp
====
После добавления правила, в фаерволе зайдите на вкладку адресс-лист, жмакните там плюсик, в поле названия введите external_ip и свой внешний адрес, который Вы засветили на скринах.... После всех манипуляций "тащите" правила в самый верх в списках фильтров
====
Первая айпишка в списке это 103.24.93.196... айпи-инфо говорит, что это Гон-Конг))) Китайцы тебя флудят..... Ещё неплохо было бы запретить большие пинги на твой хост ;)


summit
Сообщения: 64
Зарегистрирован: 14 мар 2014, 07:20

Ну настолько усложнять не нужно, вполне хватит такого правила:
chain=input action=drop connection-state=new protocol=udp in-interface=Rostelecom dst-port=53

Телекомовцы грешат динамическими адресами (хоть и белыми) и каждый раз забивать его в адрес-лист напряжно.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Я просто привык заводить в микрот по несколько провайдеров :smu:sche_nie:


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если верить про "гонконгский айпишник", то могут добавить от себя, что стоит только на пару дней выключить фаервол, как тут же китайские товарищи начинают долбится, если память мне не изменяет, на ssh и ftp.
Если микротик для дома, без изысканных хотелок и премудростей, то есть замечательный стандартный набор фаервольных правил, который в 5й ветке "вырастал" автоматически, при определенных манипуляциях, теперь почему то убрали =(

Код: Выделить всё

ip firewall filter add chain=input action=accept protocol=icmp
ip firewall filter add chain=input action=accept connection-state=established in-interface="твой внешний интерфейс"
ip firewall filter add chain=input action=accept connection-state=related in-interface="твой внешний интерфейс"
ip firewall filter add chain=input action=drop in-interface="твой внешний интерфейс"
ip firewall filter add chain=forward action=jump jump-target=customer in-interface="твой внешний интерфейс"
ip firewall filter add chain=customer action=accept connection-state=established
ip firewall filter add chain=customer action=accept connection-state=related
ip firewall filter add chain=customer action=drop

Но у данного набора есть недостаток, UPNP с ним работать не будет, бо все закрыто и ковырять дырки надо вручную, если нужен анпример регулярно и качественно раздающий торрент, или что то подобное. И последняя строчка отшибает мультикаст извне, если что, это на случай если есть iptv =)
З.Ы. Насколько данный набор хорош, не берусь утверждать и более того, был бы благодарен более опытным товарищам если поправят, или вообще забракуют его.


Сержа
Сообщения: 61
Зарегистрирован: 03 июн 2013, 06:32

summit писал(а):Ну настолько усложнять не нужно, вполне хватит такого правила:
chain=input action=drop connection-state=new protocol=udp in-interface=Rostelecom dst-port=53

Телекомовцы грешат динамическими адресами (хоть и белыми) и каждый раз забивать его в адрес-лист напряжно.



Спасибо огромное! Помогло))))


Ответить