Чуть выше на предыдущем скрине видно же, что правило применяется не к физическому порту ether1-ext, а к вирт. интерфейсу pppoe-rostel. Выкладываю скрин еще раз
Filter Drop - сильно грузит процессор
-
alterak
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Вы перепутали кол-во соединений и кол-во пакетов попавших под правило. Это совершенно разные вещи! А конфиг и в самом деле у вас другой.alterak писал(а): ↑25 июн 2018, 13:37У меня один в один! Только после родственных соединений добавлено дополнительное правило, разрешающие определенные порты forward.
Более 6000 соединений... А что тут удивительного? Микротик их обрабатывает и обрубает, а поскольку он их обрабатывает, поэтому и грузит процессор.
Если считаете что все с конфигом в порядке - меняйте маршрутизатор на более мощный.
Александр
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Привожу/Показываю пример моего скелетного файрвола,
то есть это минимальные правила в самом начале настройки роутера,
потом уже добавляем свои или эти меняем, всё зависит
от условий, также, там в конце списка нет "всё дропать",
ибо чтобы во время работы/настройки также себя перестраховать.
В файрволе у меня используюся список-адресов для интерфейсов,
это делает гибче файрвол, его переносимым и адаптивным.
(list1-WAN-iface - переменная куда отнесены внешние
виртуальные (рррое) и физические порты (ether1) порты).
P.S.
Это как говорят юристы - "рыба", то есть скелетная часть,
а дальше уже каждый сам делает...
Такую рыбу использую в основном для SOHO роутеров, где как известно,
рекомендуют больше 25 правил не использовать (без нужды).
то есть это минимальные правила в самом начале настройки роутера,
потом уже добавляем свои или эти меняем, всё зависит
от условий, также, там в конце списка нет "всё дропать",
ибо чтобы во время работы/настройки также себя перестраховать.
В файрволе у меня используюся список-адресов для интерфейсов,
это делает гибче файрвол, его переносимым и адаптивным.
(list1-WAN-iface - переменная куда отнесены внешние
виртуальные (рррое) и физические порты (ether1) порты).
P.S.
Это как говорят юристы - "рыба", то есть скелетная часть,
а дальше уже каждый сам делает...
Такую рыбу использую в основном для SOHO роутеров, где как известно,
рекомендуют больше 25 правил не использовать (без нужды).
-
alterak
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
Да чтож вы так хотите что бы я что-то перепутал-)). Ничего я не перепутал-) Вот количество соединений, на данный момент (выделил красным) всего 39. Вчера было более 6 тысяч.
А в первом сообщении действительно общий шаблон моего фильтра, поскольку с рабочего микротика выгружать и править было немного лень, сорри.
А поменять маршрутизатор конечно хотелось бы, но боюсь, что чуть выше частота процессора вряд ли спасет ситуацию... может и ошибаюсь конечно.
А вообще надеялся что есть решения по Prerouting в качестве замены стандартного фильтра.
-
IB
- Сообщения: 11
- Зарегистрирован: 05 сен 2018, 15:07
на 2 страницы нахоливарили......как авторитетный безопасник со стажем заявляю что вас досят...отсюдава имеет смысл разъяснить методику защиты:
1. определяем вектор атаки
2. закрываемся
1. определяем вектор атаки
2. закрываемся