Russian Users MikroTik | Форум пользователей MikroTik

Vlad-2 писал(а): ↑25 июн 2018, 13:59 Ну в Вашем первом сообщении, в Ваших примерах всё запрещающее приводилось
к по отношению к 1-му порту

Чуть выше на предыдущем скрине видно же, что правило применяется не к физическому порту ether1-ext, а к вирт. интерфейсу pppoe-rostel. Выкладываю скрин еще раз

alterak писал(а): ↑25 июн 2018, 13:37

algerka писал(а): ↑25 июн 2018, 13:18 есть подозрение что тот кусочек конфига который вы показали отличается от того что у вас на маршрутизаторе, иначе от куда 6000 подключений ?
Ну, или, как вариант это трафик с локалки.

У меня один в один! Только после родственных соединений добавлено дополнительное правило, разрешающие определенные порты forward.
Более 6000 соединений... А что тут удивительного? Микротик их обрабатывает и обрубает, а поскольку он их обрабатывает, поэтому и грузит процессор.

Вы перепутали кол-во соединений и кол-во пакетов попавших под правило. Это совершенно разные вещи! А конфиг и в самом деле у вас другой.
Если считаете что все с конфигом в порядке - меняйте маршрутизатор на более мощный.

Привожу/Показываю пример моего скелетного файрвола,
то есть это минимальные правила в самом начале настройки роутера,
потом уже добавляем свои или эти меняем, всё зависит
от условий, также, там в конце списка нет "всё дропать",
ибо чтобы во время работы/настройки также себя перестраховать.

В файрволе у меня используюся список-адресов для интерфейсов,
это делает гибче файрвол, его переносимым и адаптивным.
(list1-WAN-iface - переменная куда отнесены внешние
виртуальные (рррое) и физические порты (ether1) порты).



P.S.
Это как говорят юристы - "рыба", то есть скелетная часть,
а дальше уже каждый сам делает...
Такую рыбу использую в основном для SOHO роутеров, где как известно,
рекомендуют больше 25 правил не использовать (без нужды).

algerka писал(а): ↑25 июн 2018, 14:18 Вы перепутали кол-во соединений и кол-во пакетов попавших под правило. Это совершенно разные вещи! А конфиг и в самом деле у вас другой.
Если считаете что все с конфигом в порядке - меняйте маршрутизатор на более мощный.

Да чтож вы так хотите что бы я что-то перепутал-)). Ничего я не перепутал-) Вот количество соединений, на данный момент (выделил красным) всего 39. Вчера было более 6 тысяч.



А в первом сообщении действительно общий шаблон моего фильтра, поскольку с рабочего микротика выгружать и править было немного лень, сорри.
А поменять маршрутизатор конечно хотелось бы, но боюсь, что чуть выше частота процессора вряд ли спасет ситуацию... может и ошибаюсь конечно.

А вообще надеялся что есть решения по Prerouting в качестве замены стандартного фильтра.

на 2 страницы нахоливарили......как авторитетный безопасник со стажем заявляю что вас досят...отсюдава имеет смысл разъяснить методику защиты:
1. определяем вектор атаки
2. закрываемся