Filter Drop - сильно грузит процессор

Обсуждение оборудования и его настройки
alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

Vlad-2 писал(а): 25 июн 2018, 13:59 Ну в Вашем первом сообщении, в Ваших примерах всё запрещающее приводилось
к по отношению к 1-му порту
Чуть выше на предыдущем скрине видно же, что правило применяется не к физическому порту ether1-ext, а к вирт. интерфейсу pppoe-rostel. Выкладываю скрин еще раз

Изображение


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

alterak писал(а): 25 июн 2018, 13:37
algerka писал(а): 25 июн 2018, 13:18 есть подозрение что тот кусочек конфига который вы показали отличается от того что у вас на маршрутизаторе, иначе от куда 6000 подключений ?
Ну, или, как вариант это трафик с локалки.
У меня один в один! Только после родственных соединений добавлено дополнительное правило, разрешающие определенные порты forward.
Более 6000 соединений... А что тут удивительного? Микротик их обрабатывает и обрубает, а поскольку он их обрабатывает, поэтому и грузит процессор.

Изображение
Вы перепутали кол-во соединений и кол-во пакетов попавших под правило. Это совершенно разные вещи! А конфиг и в самом деле у вас другой.
Если считаете что все с конфигом в порядке - меняйте маршрутизатор на более мощный.


Александр
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Привожу/Показываю пример моего скелетного файрвола,
то есть это минимальные правила в самом начале настройки роутера,
потом уже добавляем свои или эти меняем, всё зависит
от условий, также, там в конце списка нет "всё дропать",
ибо чтобы во время работы/настройки также себя перестраховать.

В файрволе у меня используюся список-адресов для интерфейсов,
это делает гибче файрвол, его переносимым и адаптивным.
(list1-WAN-iface - переменная куда отнесены внешние
виртуальные (рррое) и физические порты (ether1) порты).

Изображение

P.S.
Это как говорят юристы - "рыба", то есть скелетная часть,
а дальше уже каждый сам делает...
Такую рыбу использую в основном для SOHO роутеров, где как известно,
рекомендуют больше 25 правил не использовать (без нужды).
:-)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

algerka писал(а): 25 июн 2018, 14:18 Вы перепутали кол-во соединений и кол-во пакетов попавших под правило. Это совершенно разные вещи! А конфиг и в самом деле у вас другой.
Если считаете что все с конфигом в порядке - меняйте маршрутизатор на более мощный.
Да чтож вы так хотите что бы я что-то перепутал-)). Ничего я не перепутал-) Вот количество соединений, на данный момент (выделил красным) всего 39. Вчера было более 6 тысяч.

Изображение

А в первом сообщении действительно общий шаблон моего фильтра, поскольку с рабочего микротика выгружать и править было немного лень, сорри.
А поменять маршрутизатор конечно хотелось бы, но боюсь, что чуть выше частота процессора вряд ли спасет ситуацию... может и ошибаюсь конечно.

А вообще надеялся что есть решения по Prerouting в качестве замены стандартного фильтра.


IB
Сообщения: 11
Зарегистрирован: 05 сен 2018, 15:07

на 2 страницы нахоливарили......как авторитетный безопасник со стажем заявляю что вас досят...отсюдава имеет смысл разъяснить методику защиты:
1. определяем вектор атаки
2. закрываемся


Ответить