RouterBOARD 750GL

Обсуждение оборудования и его настройки
Ответить
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Дома пока стоит такой девайс: RouterBOARD 750GL.
Меня интересует какая реальная пропускная способность этого роутера в режиме: PPPoE + Firewall (30 правил, 15 нат).

Сегодня, когда стали тестировать HTTP сервер, при скорости ~ 30.000 p\s и ~ 10 Mbps, роутер был загружен на 100%, при этом полностью отвалился интернет за NAT, и попасть в роутер получилось только после вытыкания WAN (не конектился).


PS> Плюс ко всему заметил что тарпит не работает, если указать "chain=input".

Код: Выделить всё

add action=tarpit chain=input connection-limit=1,32 disabled=no dst-port=80 in-interface=WAN-main-PPPoE protocol=tcp

И только работает, если указать "chain=forward", но как я понимаю это немного другой смысл и бо'льшая нагрузка.

PSS> Причём не только тарпит. Вот пример с вики:

Код: Выделить всё

add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="detect and drop port scan connections" disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit comment="suppress DoS attack" disabled=no
add chain=input protocol=tcp connection-limit=10,32 action= add-src-to-address-list address-list=black_list  address-list-timeout=1d comment="detect DoS attack" disabled=no

Работает только детектор сканера портов, хотя делаю DoS и во вкладке "Connections" огромное кол-во подключений.

Может быть я что-то упустил? Правила находятся в самом вверху. Проша 5.17.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Для понимания файрвола обратитесь в вики http://wiki.mikrotik.com/wiki/Firewall


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

iSupport, да, спасибо, ознакомился, хотя и не совсем понятно, но в общих чертах понятно.
Мне просто казалось, что input это когда трафик тока входит в интерфейс, output - выходит.
Сделал через "chain=forward".

Но вопрос с производительностью остался.
В таблице в доках указано почти 40к пакетов в секунду, и мне не совсем понятно, что например будет, если будет атака в 100к fps, но все пакеты будут попадать в тарпит, или дропаться.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

тарпит грузит процесор, так как подвешивает соединение и не присылает ответ

а дроп просто сбрасывает и забывает

на Вашей модельке лучше использовать дроп


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить