Russian Users MikroTik | Форум пользователей MikroTik

gmx писал(а):Ку думаете, сколько пакетов Invalid может прийти на ваш порт??? За последние 50 дней непрерывной работы RB2011 в это правило у меня упало 2 (два) пакета. Они сильно нагрузили проц?

А у меня за 14 дней 42,5 к пакетов, интересно, это может стать поводом для каких-то выводов и решений?
По поводу настроек фаервола, если не представляете, что делаете, то лучше ничего не делать. Тут без преувеличений и ёрничества. Вопросы ограничения трафика требуют прежде всего понимания работы, принципов, терминов и составленного плана. Опытные админы составляют подобные планы в голове, основываясь на опыте и предыдущих настройках. Неопытным лучше прописать порядок на бумаге, нумеруя порядок в таблице.
"Самых лучших настроек" не может быть в принципе, это как самая красивая прическа - на вкус и цвет ...

Наверное, если исключить проблемы физики (битые пакеты сыпались бы безудержно), то это скорее всего связно с общей нагрузкой. Чем выше нагрузка, тем больше пакетов проходит через микротик, тем больше проблемных пакетов может ему встретится. У меня нагрузка не очень большая.

Друзья, а как еще, если не интересоваться у правильных людей, подтвердить или опровергнуть догадки, если прямых ответов у гугла нет? Это, в большей степени, риторический вопрос...
И вопрос по существу: подскажите пожалуйста, стоит ли добавлять правила для защиты от сканирования типа

в firewall или правило

уже включает в себя первое?

Заранее спасибо!

Maman писал(а): Это, в большей степени, риторический вопрос...

Каков вопрос, таков и ответ, чисто риторический...

оно включает в себя все в цепочке input акромя трафика с бриджа

Могу дать совет не ради укора. Научитесь читать правила и тогда все станет очевидно. Так же стоит разобраться с цепочками со всеми

Доброго времени суток, уважаемые гуру.
Недавно столкнулся с дефолтной конфигурацией МТ в которой уже было настроено правило Fasttrack. Изучая это правило обнаружил, что в разделе "Connection state" отмечено сразу две галочки "Established" и "Related". Стало интересно два момента:
1. При такой настройке правило действует на пакет, отвечающий сразу двум условиям? Или оно работает и с пакетами Established и с пакетами Related.
Отсюда возникает второй вопрос:
2. Во многих мануалах по настройке базовой защиты МТ рекомендуют добавлять два отдельных разрешающих правила для "Established" и "Related". Можно ли вместо двух отдельных правил создать одно разрешающее правило с двумя галочками в разделе "Connection state"?
К сожалению гугл не помог.

Критерии в фаерволле объединяются логическим условием "и".

Думаю не чего страшного в этом нет.
Т.к Во многих мануалах по настройке базовой защиты МТ рекомендуют добавлять два отдельных разрешающих правила для "Established" и "Related - это было в старой версии прошивок, можно было выбрать только один Вариант

Так всё таки кто прав? Будут ещё мнения?
Насколько я понял ответы gmx и wolf_ktl противоречат друг другу.
Если логика "и", то пакет должен одновременно быть и тем и другим. Или "и" имеется ввиду и то и другое?
К сожалению я не настолько хорошо разбираюсь в теории сетей, но мне кажется пакет не может иметь одновременно статус "Established" и "Related". Поправьте если я не прав - пакет "Related" после первого соединения уже превращается в "Established". Или это не так?
Может кто-то сможет провести эксперимент, чтобы точно узнать эту тонкость? К сожалению я пока не настолько хорошо разобрался с RouterOS.

Не могу точно сказать про "Established" и "Related', но например,


в фаерволле установлены два критерия: Scr. address и Out. Interface. При этом в правило попадут пакеты, которые принадлежат сети из Scr. address и, которые, отправляются в Out. Interface. При этом, если не указать Scr. address, то в правило попадут все пакеты, которые уходят в Out. Interface.


Но возможно есть исключения...