Jump to content
  • 0

RB951G-2HnD - 100% CPU usage


dobriloff

Question

dobriloff

 Здравейте,

Изпаднах в много странна ситуация която нещо не си обяснявам . RB951G-2HnD (ROS 6.48) с проста Firewall конфигурация , DHCP , Bridge ether2-ether5 , ether1 (Internet)  + CapsMan Manager с 2 AP-та и закачен само 1 клиент = 100% CPU Load през няколко минути. За един ден му бях пуснал и графиките и там CPU стой средно на 50% , като през това време не е имало закачени клиенти на AP-тата съответно DHCP не е раздавало адреси, за някакво време пробвах да логвам преди input drop , да не би да ме флудят ... и това не е :).  Ясно ,че устройстовото е 600MHz и 128RAM но си мисля ,че се трябва да се справя.

Ето и firewall правилата.

/ip firewall filter
add action=accept chain=input comment=\
    "Allow established/related from Internet" connection-state=\
    established,related in-interface=Internet
add action=accept chain=input comment="Allow from LAN" in-interface=\
    Local-Bridge src-address=192.168.255.0/24
add action=accept chain=input comment="Allow limited ICMP" in-interface=\
    Internet limit=50/5s,5:packet protocol=icmp
add action=drop chain=input comment="Deny all inlisted from Internet" \
    in-interface=Internet
add action=fasttrack-connection chain=forward comment="FastTrack connections" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "Allow established/related  connections" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="Drop invalid from Internet" \
    connection-state=invalid in-interface=Internet
add action=drop chain=forward comment="Drop all from Internet not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface=Internet
/ip firewall nat
add action=masquerade chain=srcnat comment=Masquerade out-interface=Internet \
    src-address=192.168.255.0/24

Преди 2-3години съм ползвал същото устройсто за нещо доста подобно като тогава ползвах неговия WiFi вместо да слагам CapsMan с допълнителни AP-та за WiFi и закаченити устройства бяха около 10 , проблем с CPU натоварването на съм забелязал.

 

Въпроса ми е на какво може да се дължи това странно натоварване?  Profile показва firewall - 63% , networking - 28% , качих и снимка.

image.png

Link to post
Share on other sites

6 answers to this question

Recommended Posts

  • 0
JohnTRIVOLTA

Като начало добави си като първо правило дроп за невалидните връзки на INPUT веригата , а същото такова за FORWARD да го поставиш да е първо правило за нея верига също ! Пуснал ли си рутера да играе роля на DNS /Allow Remote Requests/ за локалната мрежа ?

Edited by JohnTRIVOLTA
Link to post
Share on other sites
  • 0
  • Administrator
111111

Затова не се трият дефаултните правила 😉

/ip firewall {
             filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
             filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
             filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
             filter add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
             filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
             filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
             filter add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
             filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
             filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
             filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
             filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf:  drop all from WAN not DSTNATed"
             }

Сигурно ли е че не изпълняваш някой скрипт периодично?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0
dobriloff

Ще си добавя правилата за невалидните връзки в двете вегиги, благодаря :)  кеширащия DNS e пуснат и той да. Проблема се оказа едно Raspbery Pi за което тотално бях забравил ,че е пуснато. Въпросното устройство преди време е било погрешно експоузнато в интернет както си е  с дефолтните креденшали и очаквано някой го е нацелил и направил част от нечия Botnet мрежа... като си погледнах connection таблицата там сигурно имаше 10000 едновременни вреъзки към китайски IP-та + на моменти Bridge интерфейса вдигаше до 300Mbit... в момента в който добавих едно правило POSTROUTING ACCEPT за IP-то на RaspberyPi и натоварването изчезна..направих го така тъй като съм далече от всичките устройства а искам да видя какво точно са натоварили на RaspberyPi.  Явно хардуера  на RB951G-2HnD не е особено достатъчено ако в мрежата има някое зловреден клиент... Пак добре де , ако рутера беше по-мощен сигурно още 1 седмицаи щеше да работи това RaspeberyPi или докато ISP ми спре интернета заради съмнителна активност.

Link to post
Share on other sites
  • 0
JohnTRIVOLTA

Ще спре флуда, като си спрял snat на устройството с това правило т.е. няма нет на него вече 😄  Вземи дай малко повече инфо за това малинката като какво работи ? И кажи флууда само на определен или на рандъм портове е?

P.S.  Кой домашен рутер от неговата генерация преди 8-9 год. може да държи повече на флуд?

.....

P.P.S. Ясно сега че флудера е малинката, като прочетох всичко ! Има си правила, които може да добавиш в борда за такива инфектирани във вътрешната мрежа !

Edited by JohnTRIVOLTA
Link to post
Share on other sites
  • 0
dobriloff

За съжаление не направих Capture снощи а сега се наложи направо да го халтна тъй като започна да прави нови глупости. започна на вгига статични IP-та , процеса се форква като ново binary и изтрива старото . прави доста DNS рекуести за ресолт на всевъзможни хостове. Също така се мъчи да прави TCP конекции към разни кирайски IP-та на стандартния порт на SQL Server 1433. Байндва разни рандом UDP портове... Като ида при устройството може и да си копирам едно байнъри и да си поиграя да го ревърсна.. щото изглежда интересно.. някой си е поиграл да го направи да се бори като се опиташ да го ограничиш :) 

Link to post
Share on other sites
  • 0
  • Administrator
111111

На кратко е бил стандартно днс прокси,

не забравяйте че в Китай 1/3 от нета го няма.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Similar Content

    • master
      By master
      Търся работещи без ремонти, град Варна О886811477.
    • master
      By master
      Здравейте, рутерчето работи страхотно но има нещо което ме дразни. С лаптоп когато е свързан безжично на торенти съм докарвал 100мегабита, на спеед тест малко по-малко но това не е фатално. Не мога да разбера защо като пусна спеед тест от андроид телефон на сваляне ми дава 17 на качване 25. Когато пусна един зиксел на същия канал и място към телефона държи 50+.
      Има ли нещо по-специфично при настройките или просто не съвместимост.
      Версията е 6.37.3.
    • plamon
      By plamon
      Здравейте от скоро съм във форума и съм начинаещ със Микротик рутерите.
      Имам един въпрос за изграждане на тунел между два офиса и съм се спрял на следното оборудване:
      от едната страна RB1100AHx2 от другата RB951G-2HnD ще може ли така да се получат нещата?
      Също така ако може да ми посочите някакъв туториал за този случай ще съм благодарен
       
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.