Подключение ZTE(GPON) через бридж к роутеру МИКРОТИК (RB952Ui-5ac2nD)

Общение на отвлеченные темы
Аватара пользователя
podarok66
Модератор
Сообщения: 4376
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

А вот мне интересно, этот hap lite потянет такой вариант?

Код: Выделить всё

/ip firewall layer7-protocol
add name=huk regexp="^.+(windowsupdate.com|ad.adriver.ru|googleads.g.doubleclick.net|pagead2.googlesyndication.com|download.windowsupdate.com|windowsupdate.com|ntservicepack.microsoft.com|stats.microsoft.com|wustat.windows.com|update.microsoft.com|corel.com|mc.corel.com|ipm.corel.com|dam.corel.com|iws.corel.com|ads.viber.com|an.yandex.ru|license.piriform.com).*\$"
/ip firewall filter
add action=reject chain=forward comment=huk_all layer7-protocol=huk reject-with=icmp-network-unreachable
Я отдаю себе отчёт, что протокол layer7 очень тяжёлый. Но чем чёрт не шутит... Тем более, если для established и related в самый верх загнать правила и обрабатываться будут только новые. А правило запрета только одно. Эти запреты непонятных портов в верхней части фильтров мне не ясны. Зачем вся эта жуть на столь слабой железке? Контентным просмотром в правилах пользоваться и тем более не стоит, железо просто будет дохнуть...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
xvo
Сообщения: 4230
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Учитывая, что все это, как я понимаю, попытка прикрыть рекламу и автообновления, то вполне можно это все на уровне DNS порезать.


Telegram: @thexvo
Jahongir
Сообщения: 13
Зарегистрирован: 13 сен 2019, 09:34

Vlad-2 писал(а): 14 сен 2019, 15:09 Ну вот и ответ (за Вас) нашёл.

Добавил все Ваши правила (Filtre Rules) в мой роутер тестовый - скорость упала.

Изображение

1) обратите внимание - на портах 13мегабит, прыгает и до 19-22
2) на компе копирование идёт как и у Вас, со скоростью 1.49 мегабайта в сек
3) утилита Profile - показывает нагрузку и модуль "firewall"

А Вы говорите правил мало, когда я их импортировал - так показалось их 29 штук. ЭТО мало?
Опять же, посмотрите на правила, каждый хост = это отдельное правило, зачем так делать?
Может есть возможность уменьшить/сжать/скомпоновать их как-то.

Ну ё маё...(с) "СтарТрек"
:bra_vo: Все ребяяят! Разобрались, всем большое :co_ol: спасибо! Вопрос закрыт. Поругались с файрволом, снесли весь конфиг, все настроили с нуля и вуаля скачивание файла фиксаж идет 12Мегабайт/с. :-ok-:

Вопрос, подскажите пожалуйста эти правила. :du_ma_et:

"В firewall'е отсутствует правило разрешающее уже установленные соединения.
То есть КАЖДЫЙ пакет обрабатывается firewall'ом."


Jahongir
Сообщения: 13
Зарегистрирован: 13 сен 2019, 09:34

podarok66 писал(а): 14 сен 2019, 19:33 А вот мне интересно, этот hap lite потянет такой вариант?

Код: Выделить всё

/ip firewall layer7-protocol
add name=huk regexp="^.+(windowsupdate.com|ad.adriver.ru|googleads.g.doubleclick.net|pagead2.googlesyndication.com|download.windowsupdate.com|windowsupdate.com|ntservicepack.microsoft.com|stats.microsoft.com|wustat.windows.com|update.microsoft.com|corel.com|mc.corel.com|ipm.corel.com|dam.corel.com|iws.corel.com|ads.viber.com|an.yandex.ru|license.piriform.com).*\$"
/ip firewall filter
add action=reject chain=forward comment=huk_all layer7-protocol=huk reject-with=icmp-network-unreachable
Я отдаю себе отчёт, что протокол layer7 очень тяжёлый. Но чем чёрт не шутит... Тем более, если для established и related в самый верх загнать правила и обрабатываться будут только новые. А правило запрета только одно. Эти запреты непонятных портов в верхней части фильтров мне не ясны. Зачем вся эта жуть на столь слабой железке? Контентным просмотром в правилах пользоваться и тем более не стоит, железо просто будет дохнуть...
Нужно будет потестить... опишу результат. на данный момент убрал все эти запрещающие правила. :men:


Jahongir
Сообщения: 13
Зарегистрирован: 13 сен 2019, 09:34

xvo писал(а): 14 сен 2019, 20:14 Учитывая, что все это, как я понимаю, попытка прикрыть рекламу и автообновления, то вполне можно это все на уровне DNS порезать.
Подскажите пожалуйста, точнее как :ne_vi_del:


xvo
Сообщения: 4230
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Jahongir писал(а): 14 сен 2019, 21:35 "В firewall'е отсутствует правило разрешающее уже установленные соединения.
То есть КАЖДЫЙ пакет обрабатывается firewall'ом."
Я же вам вроде уже в одном из ответов прикладывал фаервол из дефотлтного конфига?!
Там все это есть.
Но вы бы хоть почитали какие-нибудь базовые принципы того, как вообще грамотно фаервол написать.
А то бездумная копипаста по частям из нескольких разных источников обычно рождает что-то монструозное и нерабочее.
Вроде того, что у вас было :)
Последний раз редактировалось xvo 14 сен 2019, 22:44, всего редактировалось 1 раз.


Telegram: @thexvo
xvo
Сообщения: 4230
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Jahongir писал(а): 14 сен 2019, 21:44
xvo писал(а): 14 сен 2019, 20:14 Учитывая, что все это, как я понимаю, попытка прикрыть рекламу и автообновления, то вполне можно это все на уровне DNS порезать.
Подскажите пожалуйста, точнее как :ne_vi_del:
Погуглил за вас:
https://www.technotrade.com.ua/Articles ... #dns_block


Telegram: @thexvo
Аватара пользователя
MaxoDroid
Сообщения: 357
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

xvo писал(а): 14 сен 2019, 15:19 Ну и свои правила добавьте уже куда нужно:
А я бы фсттрак вообще бы на первое место поставил бы для скорости.
Про расположение правил я придерживаюсь логики:
Сначала Forward – для более быстрой обработки уже установленных и проходящих соединений
Потом Input, где правило drop на все, что не разрешено выше, находится в самом низу. (только список WAN! не нужно лочить абсолютно все)
Соответственно разрешающие правила над блокирующим и дополнительные блокировки над разрешающими если требуются.

А еще бы я в данном случае поставил бы для бриджа protocol-mode=none. Зачем ему дерево строить? Ведь Микрот тут один. И скорость это хоть чуть-чуть, но даст.


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
xvo
Сообщения: 4230
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

MaxoDroid писал(а): 14 сен 2019, 23:04
xvo писал(а): 14 сен 2019, 15:19 Ну и свои правила добавьте уже куда нужно:
А я бы фсттрак вообще бы на первое место поставил бы для скорости.
Про расположение правил я придерживаюсь логики:
Сначала Forward – для более быстрой обработки уже установленных и проходящих соединений
Потом Input, где правило drop на все, что не разрешено выше, находится в самом низу. (только список WAN! не нужно лочить абсолютно все)
Соответственно разрешающие правила над блокирующим и дополнительные блокировки над разрешающими если требуются.

А еще бы я в данном случае поставил бы для бриджа protocol-mode=none. Зачем ему дерево строить? Ведь Микрот тут один. И скорость это хоть чуть-чуть, но даст.
Взаиморасположение input, forward (и любых других цепочек) не играет никакой роли, они все равно рассматриваются независимо. Значение имеет только порядок внутри каждой цепочки.
Ну а там главное правило: подтянуть повыше то, на чем по статистике срабатывает большее количество пакетов, но не нарушив общую логику работы.
То есть, если фаервол строится по принципу нормально-закрытого, то сначала узкие разрешающие правила, потом широкие запрещающие всё остальное.
Если где-то надо наоборот что-то выборочно запретить - соответственно эти запрещающие перед более общим разрешающим правилом.


Telegram: @thexvo
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2527
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

MaxoDroid писал(а): 14 сен 2019, 23:04 А я бы фсттрак вообще бы на первое место поставил бы для скорости.
Спорное решение.
Фастрак ускоряет, но роутер делает более "тупым", тогда уж лучше купить Длинк/Асус/Зухель.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить