Страница 1 из 2
RB750 6.1, нагрузка 25-50%
Добавлено: 15 авг 2013, 20:14
ullquiorra
Странную ситуацию сейчас наблюдаю:
eth1 - wan, dhcp client, внешний белый ип
eth2 - 4 влана, оптика, еще 1 микротик влан-свичем (там 2 клиента, 2 влана висят вхолостую навырост)
eth3 - комп
eth4 - пусто
eth5 - пусто
Трафика по lan-интерфейсам (2,3,4,5) нет ВООБЩЕ, на eth1 примерно 1 мбит Tx'а, Rx'а что то около 100-150 кбит.
Firewall > Active Connections 6-8 записей, никакого "спама" от всевозможных канадско-французских сканнеров нет.
И, при этом, загрузка cpu 25%+
Два вопроса: откуда 1mbit/s Tx на wan'е и что наружает процессор на четверть?
Ребут не помог
Re: RB750 6.1, нагрузка 25-50%
Добавлено: 15 авг 2013, 21:13
plin2s
Посмотрите на загрузку по процессам Tools - profile. Если это dns, то необходимо закрыть 53 порт снаружи.
Re: RB750 6.1, нагрузка 25-50%
Добавлено: 28 авг 2013, 18:12
ullquiorra
Не в ДНСе проблема была, но, тем не менее, отпишусь.
Вощм, закрыл весь udp диапазон, кроме одного единственного нужного порта, и вот какая штукенция получилась:
холостая нагрузка упала и плавает в пределах 1-3%, все нормально, все хорошо, никаких лагов и тупежа, но больше всего улыбает тот факт, что канадско-французским ботам что-то ОЧЕНЬ нужно от моего маленького, богом забытого роутера
За 13 неполных суток аптайма фаерволл надропал 22 гигабайта сканов портов.
Re: RB750 6.1, нагрузка 25-50%
Добавлено: 28 авг 2013, 18:55
gmx
Да они бросят сканить через пару-тройку дней.
Бывает!
Re: RB750 6.1, нагрузка 25-50%
Добавлено: 28 авг 2013, 19:51
ullquiorra
gmx писал(а):Да они бросят сканить через пару-тройку дней.
Бывает!
Аптайм не непрерывный, правило установил
гораздо раньше
Re: RB750 6.1, нагрузка 25-50%
Добавлено: 20 ноя 2013, 20:32
dizzy
plin2s писал(а):Посмотрите на загрузку по процессам Tools - profile. Если это dns, то необходимо закрыть 53 порт снаружи.
Вопрос начинающего микротиковода... )
Есть такая проблема, подскажите как грамотно, правильно закрыть 53 порт снаружи?
Re: RB750 6.1, нагрузка 25-50%
Добавлено: 20 ноя 2013, 21:51
simpl3x
фаерволом.
Код: Выделить всё
ip firewall filter add chain=input action=drop protocol=udp port=53 in-interface=TYT_ZAPOLNIT
Re: RB750 6.1, нагрузка 25-50%
Добавлено: 20 ноя 2013, 21:57
dizzy
simpl3x писал(а):фаерволом.
Код: Выделить всё
ip firewall filter add chain=input action=drop protocol=udp port=53 in-interface=TYT_ZAPOLNIT
окей, спасибо!
а если не указывать in-interface?
закрывать только udp или tcp тоже? или DNS запросы только по udp?
извиняйте за "глупые" вопросы...
Re: RB750 6.1, нагрузка 25-50%
Добавлено: 20 ноя 2013, 22:01
simpl3x
ну в фильтре есть три критерия, по которым он будет фильтровать:
1. протокол
2. порт
3. интерфейс откуда прилетело
если убрать интерфейс, что будет?
правильно, он будет срабатывать на пакеты по:
1. протоколу
2. порту
ну вы посмотрите, на каких протоколах и портах работает не угодная вам служба и фильтруйте что вам надо
Re: RB750 6.1, нагрузка 25-50%
Добавлено: 20 ноя 2013, 22:07
dizzy
simpl3x писал(а):ну в фильтре есть три критерия, по которым он будет фильтровать:
1. протокол
2. порт
3. интерфейс откуда прилетело
если убрать интерфейс, что будет?
правильно, он будет срабатывать на пакеты по:
1. протоколу
2. порту
ну вы посмотрите, на каких протоколах и портах работает не угодная вам служба и фильтруйте что вам надо
хорошо, мне не важно на какой интерфейс (на любой, на пусть на ВСЕ), главное, что б все входящие запросы DNS резал... а то некоторые "внешние" думают, что у меня DNS сервер, лезут на него и profile-dns в этот момент грузит проц по полной!
Достаточно будет?:
ip firewall filter add chain=input action=drop protocol=udp port=53