Help rb2011 входящий трафик

Обсуждение оборудования и его настройки
Ответить
vvchumanov
Сообщения: 5
Зарегистрирован: 05 сен 2016, 18:33

Народ помогите понять...
подключил в ether1 кабель от провайдера, установил pppoe соединение, все работает отлично. НО...
на ether1 валит входящий трафик 9-10 мегабит постоянно заблокировать не получается... torch по порту дает вот это:
Изображение

ipv6 отключен пакетом изначально ..


alexei1977
Сообщения: 20
Зарегистрирован: 28 июл 2017, 09:34

Попробуй в DNS галку убрать Allow Remote Requests


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Гляньте в Connections, может там флуд-ДНС на 53 порту. Тогда просто прикрыть 53 порт на input по udp и по tcp будет вполне достаточно.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vvchumanov
Сообщения: 5
Зарегистрирован: 05 сен 2016, 18:33

alexei1977 писал(а):Попробуй в DNS галку убрать Allow Remote Requests

конечно убрал..

podarok66 писал(а):Гляньте в Connections, может там флуд-ДНС на 53 порту. Тогда просто прикрыть 53 порт на input по udp и по tcp будет вполне достаточно.

не в connections ничего такого нету ....

я тут увидел про teredo только вот как его отключить на mikrotik ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Как варинты ещё:

1) у свитчей ZyXel иногда бывают запросы идут(проскакивают) в виде IPv6, поэтому если Ваш
пров их использует, то такое может быть.

2) у мелких провайдеров когда используется Dual Access (режим и Интернета и Локальной сети по одному проводу),
в таком режиме физический порт WAN - это огромная большая сеть. Там может летать всё что угодно. Обычно
в такой сети напрямую линкуют Винду и геймеры играют, так что бродкаст/мультикаст может быть ещё.
Поэтому всё же зайдите на микротик через Винбокс, и более детально Torch про-анализируйте канал.
И лучше сделать как с поднятым интерфейсом рррое, так и без него.
Так же и с локальной сетью, с ней и без неё.
Может "вирусню" подхватили?

P.S.
Даже если у Вас была атака на ДНС (53-й порт), и даже "спрятав" порт, атаки ещё будут продолжатся какое-то время,
и возможно, что нагрузка и спадёт через какое то время (пару часов, сутки-другие).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vvchumanov
Сообщения: 5
Зарегистрирован: 05 сен 2016, 18:33

Vlad-2 писал(а):Как варинты ещё:

1) у свитчей ZyXel иногда бывают запросы идут(проскакивают) в виде IPv6, поэтому если Ваш
пров их использует, то такое может быть.

2) у мелких провайдеров когда используется Dual Access (режим и Интернета и Локальной сети по одному проводу),
в таком режиме физический порт WAN - это огромная большая сеть. Там может летать всё что угодно. Обычно
в такой сети напрямую линкуют Винду и геймеры играют, так что бродкаст/мультикаст может быть ещё.
Поэтому всё же зайдите на микротик через Винбокс, и более детально Torch про-анализируйте канал.
И лучше сделать как с поднятым интерфейсом рррое, так и без него.
Так же и с локальной сетью, с ней и без неё.
Может "вирусню" подхватили?

P.S.
Даже если у Вас была атака на ДНС (53-й порт), и даже "спрятав" порт, атаки ещё будут продолжатся какое-то время,
и возможно, что нагрузка и спадёт через какое то время (пару часов, сутки-другие).



на PPPoe чисто все туда даже запросы не летят, в моей локалке нет компов с windows. Заходил через winbox все тоже самое ... летит запрос через ipv4 по ipv6 (teredo) в ipv6 включил и поставил вообще udp блокировку там видно что трафик блокируется, а толку если он летит через ipv4

53 попробую заблокирую, в моём понятии если заблокировал то ему некуда лететь и он был если была бы атака на 53 порт светился через torch, а так как в torch просто пустотно и трафик идет тупо валом по udp без какого либо порта это мрак....
Изображение

у меня входящего трафика уже больше 200 гигабайт и роутер из-за этого испытывает нагрузку и скорость подрезается...
перегугли все про teredo ни хрена не нашел как на mikrotik отключить


Основаня проблема в том что ползает все по протоколу ipv6 86dd(ipv6) , через ipv4 800(ip) по портам udp src 546 и dst 547 и когда прописываешь это правило в ipv6 я вижу что оно блокируется! но вот прописать его в ipv4 неполучается так как 86dd идет через ipv4 поесть ipv6 прописать в ipv4 получается! (пздц...)
Последний раз редактировалось vvchumanov 08 авг 2017, 23:46, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Если нагрузка на роутер максимальна (CPU в "полке") значит надо трафик "убивать".
Попробуйте правила делать уже не в закладке Filter Rules, а поиграться и сделать резку во вкладке Raw.
Обычно когда правила работают, нагрузка уменьшается.

Ну и также пробуйте уже поймать пакеты и заглянуть анализатором что в этих пакетах, мож станет понятно
кто и как их генерирует?

Если уверены что у Вас по защите дыр нету, порты прикрыты/закрыты, то надо звонить провайдеру,
в ТехПоддержку, может проверять они у себя, вдруг у них глюк, бродкастовый шторм пошёл/идёт по их сети?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vvchumanov
Сообщения: 5
Зарегистрирован: 05 сен 2016, 18:33

Vlad-2 писал(а):Если нагрузка на роутер максимальна (CPU в "полке") значит надо трафик "убивать".
Попробуйте правила делать уже не в закладке Filter Rules, а поиграться и сделать резку во вкладке Raw.
Обычно когда правила работают, нагрузка уменьшается.

Ну и также пробуйте уже поймать пакеты и заглянуть анализатором что в этих пакетах, мож станет понятно
кто и как их генерирует?

Если уверены что у Вас по защите дыр нету, порты прикрыты/закрыты, то надо звонить провайдеру,
в ТехПоддержку, может проверять они у себя, вдруг у них глюк, бродкастовый шторм пошёл/идёт по их сети?


да завтра попробую провайдера помучать, потому что имхо ужас

Изображение

как запретить хождение ipv6 через ipv4 это грб.. :sh_ok: teredo


Ответить