Страница 1 из 5
помогите с ограничением скорости (входящий)
Добавлено: 04 сен 2015, 16:10
gagarin74
Проблема в следующем.
Провайдер выдал внутренний IP (10.100.27.111) (белый то же есть).
Очень часто наблюдаю картину что внешний трафик идет на этот IP. В данный момент все компы и планшеты в домашней сети выключены(кроме одного).
Вопрос в следующем как правильно "поместить" "любой IP" в адрес лист (допустим в speedstop) минут на 30(на час,два) и при этом урезать скорость данного соединения до минимуму.
То есть нужно правило в wirefall что бы оно допустим отбирало(банило) все ip адреса с которыми есть соединение на 10.100.27.111 и скорость больше 3 мб/s. Так как скорость иногда бывает пиковая,то наверное надо сделать проверку,типо если этот ip засветился более 3 раз за 10 сек с "не нормальной" скоростью и соединением на 10.100.27.111 -в бан лист.
Большая просьба помочь.разбираться и писать самому-не то что в лом,ну не моё это. залезаю в микротик только с целью протирки от пыли :)
P.s. имя интерфейса ether1-gateway
Помогите пожалуйста. Задолбал внешний трафик,который даже в мою домашнюю сеть не вхож а интерфейс провайдерский на микротике грузит не по детски.
Re: помогите с ограничением скорости (входящий)
Добавлено: 04 сен 2015, 17:00
vqd
в начало фильтра добавьте (%ISB% заменить на интерфейс который смотрит в сторону оператора)
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=%ISP% protocol=tcp
add action=drop chain=input dst-port=53 in-interface=%ISP% protocol=udp
Re: помогите с ограничением скорости (входящий)
Добавлено: 04 сен 2015, 18:38
gagarin74
я это сделал уже в самом начале моих мучений- месяцев 7-8 назад
Re: помогите с ограничением скорости (входящий)
Добавлено: 04 сен 2015, 19:05
vqd
ну либо неправильно сделали либо еще что то .
Смотрите что у вас валится на порт и принимайте решение
Re: помогите с ограничением скорости (входящий)
Добавлено: 05 сен 2015, 10:46
podarok66
gagarin74 писал(а):я это сделал уже в самом начале моих мучений- месяцев 7-8 назад
Предположу, что ваше правило не работает. Причиной может стать неправильный порядок правил. Правила работают от первого к последнему. Проверяйте осмысленность правил фаервола...
Ну и как всегда, повторяю, это гадание, а не помощь, не экстрасенсы мы...
Re: помогите с ограничением скорости (входящий)
Добавлено: 05 сен 2015, 17:26
gagarin74
ребят,дело не в 53 порте. вернее может и в нем.но два правила для него стоят на 1 и 2 месте.
Мне бы "резать" любое соединение которе идет на указанный выше интерфейс и IP с указанной скоростью.
Re: помогите с ограничением скорости (входящий)
Добавлено: 05 сен 2015, 19:58
podarok66
Я туплю как-то на Вашем посту. Разложу по порядку, что я понял:
* Есть некий внешний трафик на роутер, но не в локальную сеть.
* Это явно не DNS-флуд на 53 порту, потому как правила закрыли эти порты и стоят в самом верху таблицы.
* Вы хотите хлопнуть адреса, с которыми общается неизвестный источник, внеся их в бан-лист. Но не хотите искать причину, вызывающую трафик...
Я в растерянности! Если это не DNS-флуд, то я вижу два варианта:
* Преднамеренная атака на ваш адрес (маловероятно, это достаточно редко бывает и обычно среди подростков-недорослей)
* Заражение какого либо компьютера или нескольких компьютеров вирусами определенного типа с последующей эксплуатацией их мощностей на сторонние задачи.
В первом случае достаточно отследить адрес, с которого идет атака, их редко бывает много. И дропнуть.
Во втором надо чистить машины локальной сети от заразы.
Предложите еще варианты, пожалуйста...
Re: помогите с ограничением скорости (входящий)
Добавлено: 06 сен 2015, 06:05
summit
podarok66 писал(а):Предложите еще варианты, пожалуйста...
Есть еще вариант что на микротике поднят какой либо из PPP тунелей и открыт для него порт, в этом случае на этот порт переодически будут ломиться извне.
Re: помогите с ограничением скорости (входящий)
Добавлено: 06 сен 2015, 18:49
gagarin74
podarok66 писал(а):Я туплю как-то на Вашем посту. Разложу по порядку, что я понял:
* Есть некий внешний трафик на роутер, но не в локальную сеть.
* Это явно не DNS-флуд на 53 порту, потому как правила закрыли эти порты и стоят в самом верху таблицы.
* Вы хотите хлопнуть адреса, с которыми общается неизвестный источник, внеся их в бан-лист. Но не хотите искать причину, вызывающую трафик...
Я в растерянности! Если это не DNS-флуд, то я вижу два варианта:
* Преднамеренная атака на ваш адрес (маловероятно, это достаточно редко бывает и обычно среди подростков-недорослей)
* Заражение какого либо компьютера или нескольких компьютеров вирусами определенного типа с последующей эксплуатацией их мощностей на сторонние задачи.
В первом случае достаточно отследить адрес, с которого идет атака, их редко бывает много. И дропнуть.
Во втором надо чистить машины локальной сети от заразы.
Предложите еще варианты, пожалуйста...
Абсолютно верно. подскажите как хлопнуть(добавить ip в стоп лист) трафик на лан который смотрит во внешнюю сеть (он же и в инет) который допустим превышает по скорости больше 2 мб в сек с одного ip.
Re: помогите с ограничением скорости (входящий)
Добавлено: 06 сен 2015, 19:36
podarok66
Да я уже говорил, я в растерянности. Как-то мне не получается осознать, как это Вы собрались ограничить скорость не в своей сети, а снаружи. И сразу на input. Посмотрите схемку прохождения трафика. Где там место Вашему желанию?
Пусть схема устарела, но суть осталась.