Russian Users MikroTik | Форум пользователей MikroTik

Есть свежекупленный микротик2011. от провайдера получает статический IP по DHCP. Работает все великолепно за исключение одного НО! В сети провайдера есть хосты с которых летит icmp трафик. Не в мой IP, а куда-то и мой микротик зачем-то на wan интерфейсе весь это трафик фиксирует, показывает нагрузку доходящую до 60мбит!!! Провайдеру пофигу. В правилах firewall самым первым стоит запрет icmp любого. Но тем не менее WAN интерфей фиксирует нагрузку. Причем если посмотреть детализацию то это не мой трафик и не в меня а от ип моего провайдера куда-то но с потоком до3-4мбит с каждого хоста и таких остов около десятка. Ни какие правила на firewall не помогают от его избавится. Мои 100 мбит заняты не пойми чем. Старый Dir615 которому пофигу на этот трафик спокойно выдает 100мбит… Как объяснить микротику не трогать трафик не предназначенный для его???
http://disk.tom.ru/smjmmq3
скриншот для наглядности

Покажите порт и протокол (там две галочки проставить).

А он его и не строгает, а откуда трафик на порту надо спрашивать у вашего провайдера

трафик ICMP у его нет порта...
что мне сказать провайдеру? в доме в последней миле используется неуправляемый свич(предполагаю). кто-то из соседей гадит в конкретный ИП, не мой. зачем микротик эти пакеты на своем ване обрабатывает?

Похожие вопросы выскакивают с завидным постоянством.

А ведь ответ содержится в вопросе.
Грубо говоря так: пакет упал на порт микротика, и он в этом не виноват, его отправило оборудование аплинк. Микротик еще ничего об этом пакете не знает. Теперь, чтобы понять что это и для него ли оно предназначено он должен пакет проанализировать.
И он это будет делать всегда, так уж это устроено.
И так делает любое сетевое оборудование, просто вы этого не видите, а микротик позволяет это анализировать и по-возможности избавляться от такого трафика.

Но есть одно НО, все это нужно делать на аплинк оборудовании.
В вашем случае пакет уже пришел, все точка! Микротик его обязан проанализировать.
И он это будет всегда независимо от ваших правил.

Основы изложены здесь http://www.ixbt.com/comm/tech-fast-ethernet.shtml

щас еще провел эксперимент.
воткнул напрямую ПК на фаерводе поставил галку регистрировать все отклоненные соединения...
нет этого потока ICMP т.е. сетевая ПК не обращает внимания на трафик который не предназначается ей...
в обынчом режиме функционирования они должна принимать только то что подходит ей по мак адресу.
далее...
ставлю снифер wireshark.
который может перевести сетевую карту в режим Promiscuous...
и вот весь ICMP поток мы видим....
для ПК надо предпринимать спец меры чтобы поток увидеть, а микротик зачемкто его показывает и главное занимает им полосу "из коробки".

Провайдер говорит нефиг слушать чужой трафик!

Пакет пришел и точка!!! Все, ничего с этим не сделаешь.

И сетевая и микротик, чтобы принять или отклонить трафик должны его проанализировать.

А показывать его пользователю или не показывать, это проблема другого характера.
Провайдер конечно не совсем прав, но в 99,9% случаев пользователи не имеют квалификации, чтобы понять, что что-то идет лишнее и он понимает, что единственный способ решить проблему - это распределить трафик на VLAN. А это усложнение, удорожание, проблемы с маршрутизацией локального трафика и так далее.

сетевая при этом для скачивания использует все 100мбит исходя из скорости скачивани, а микротик 100-(ICMP трафик)... почему?

Если я возьму ведро с водой и буду вам на голову лить вы чего с этим трафиком сделаете?

slikegt писал(а):трафик ICMP у его нет порта...
что мне сказать провайдеру? в доме в последней миле используется неуправляемый свич(предполагаю). кто-то из соседей гадит в конкретный ИП, не мой. зачем микротик эти пакеты на своем ване обрабатывает?

Из скриншота, который вы привели нельзя уверенно сказать, что там icmp.