Страница 4 из 5
Re: помогите с ограничением скорости (входящий)
Добавлено: 08 сен 2015, 20:47
vqd
Отключите все ваши фильтры, а лучше вообще конфиг убейте и с чистого листа ибо это страшный сон какой то.
Далее смотрите на какой порт снаружи валится трафик, блокируйте его
Потом опять смотрите и т.д.
Вторая дырка ибо в фильтрах вы трафик снаружи не блокируете а значит кто угодно может юзать данный прокси
/ip proxy
set cache-path=web-proxy1 enabled=yes port=8085
Думаю если порыться то еще дыр найти можно
Re: помогите с ограничением скорости (входящий)
Добавлено: 08 сен 2015, 21:08
vqd
Причем судя опять же по беглому анализу вашего внешнего Ип адреса соединения микрот анализирует и даже лочит, правда беглый анализ конфига показывает что криво.
Тот же прокси ваш с радостью отдал мне довольно тяжелый ресурс прежде чем заблокировать меня.
Re: помогите с ограничением скорости (входящий)
Добавлено: 08 сен 2015, 21:13
gagarin74
vqd писал(а):Отключите все ваши фильтры, а лучше вообще конфиг убейте и с чистого листа ибо это страшный сон какой то.
Далее смотрите на какой порт снаружи валится трафик, блокируйте его
Потом опять смотрите и т.д.
Вторая дырка ибо в фильтрах вы трафик снаружи не блокируете а значит кто угодно может юзать данный прокси
/ip proxy
set cache-path=web-proxy1 enabled=yes port=8085
Думаю если порыться то еще дыр найти можно
Про прокси понял-вопросов нет.
По первому абзацу какие конкретно замечания ? Что конкретно не так?
1 Первых два правила блочат 53 порт DNS
2 далее идут правила по блокированию IP которые явно перебирают пароли по SSH
в принципе все :) больше ни каких фильтров нет.
Второй пунк честно стырил с этого форума :)
Re: помогите с ограничением скорости (входящий)
Добавлено: 08 сен 2015, 21:19
vqd
ДНС запросы может и прокси генерировать, если до лока он мне успел радостно выдать пару мегабайт данных то даже попытки могут забить вам порт через прокси.
По ссх
Если он вам нужен то тупо смените порт на нестандартный и увидите что ни кто к вам ломится не будет.
Если боитесь ну посадите правило которое вылавливает скан портов и ваши нестандартные порты ни кто не увидит.
Если ссх снаружи вам не нужен но нужен в принципе то пропишите сеть в сервисах
Вы же нахапали кусков с интернетов. понатыкали их бездумно, а теперь плачетесь
Re: помогите с ограничением скорости (входящий)
Добавлено: 08 сен 2015, 21:29
vqd
еще
Вы плачетесь что вам канал забивают. а для чего вам upnp?
Зачем вы повышали PPPoE сервер на порт оператора?! Вот с какой вообще целью то?
Re: помогите с ограничением скорости (входящий)
Добавлено: 08 сен 2015, 22:00
gagarin74
vqd писал(а):еще
Вы плачетесь что вам канал забивают. а для чего вам upnp?
Зачем вы повышали PPPoE сервер на порт оператора?! Вот с какой вообще целью то?
если не трудно а это где ?
Re: помогите с ограничением скорости (входящий)
Добавлено: 09 сен 2015, 04:48
vqd
/interface pppoe-server server
add default-profile=profilevpn disabled=no interface=ether1-gateway max-mru=1480 max-mtu=1480 service-name=service1
/ip upnp
set allow-disable-external-interface=yes enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=ether1-gateway type=external
Re: помогите с ограничением скорости (входящий)
Добавлено: 09 сен 2015, 11:36
podarok66
А можно глупый вопрос? А зачем Вам вообще там прокси? В чем его смысл на данной железке в данной сети?
Re: помогите с ограничением скорости (входящий)
Добавлено: 09 сен 2015, 14:55
gagarin74
экспериментировал,для своих нужд но не пользовался.
Re: помогите с ограничением скорости (входящий)
Добавлено: 09 сен 2015, 16:18
podarok66
Ну так все эксперименты когда-то надо завершать. Попробуйте причесать конфиг до предела, да сбросить его наконец. И настроить все заново. Если опасаетесь за себя, сделайте бэкап нынешней системы и дерзайте. Все должно получиться. Начальный конфиг должен быть примерно такой:
Код: Выделить всё
/interface bridge
add admin-mac=D4:CA:6D:63:4B:B6 auto-mac=no mtu=1500 name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors l2mtu=1600 mode=ap-bridge wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway rx-flow-control=on tx-flow-control=on
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=ether10-slave-local
set [ find default-name=sfp1 ] disabled=yes name=sfp1-gateway
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys wpa-pre-shared-key=wwwwwwww wpa2-pre-shared-key=wwwwwwww
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=3d name=default
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local
add bridge=bridge-local interface=wlan1
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=bridge-local network=192.168.88.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no interface=ether1-gateway
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.1 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway
/ip service
set telnet disabled=yes
set www port=88
set ssh address=0.0.0.0/0 port=5522
set www-ssl disabled=no
/ip upnp
set allow-disable-external-interface=yes enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=ether1-gateway type=external
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system clock manual
set time-zone=+04:00
/system ntp client
set enabled=yes primary-ntp=83.143.51.50
На точность не претендую, я просто из вашего все лишнее поудалял. Проверьте, подставьте пароли в беспроводку. Смотрите, я там на ssh нестандартный порт назначил, измените его на нужный именно вам. В принципе, все должно стартовать и трафик должен стабилизироваться. Пробуйте, пишите о результатах...