RB20011UAS натоварване на процесора на 100%

[Николай Илиев]

Рутера е в домашна мрежа с 3 компютъра няма VPN и тунели

WAN- статичен адрес

LAN - статични адреси

Wireless -не се ползва в момента

Connections- 900-950

CPU frequency - 750Mhz

Firewall - с него и без него почти никаква промяна в натоварването

Аз ли греша нещо в настройките на рутера или това са му възможностите?

 

 

Редактирано 19 Юни, 2013 от Николай Илиев

[111111]

Пуснал си нещо n***.dyndns.tv
потърси си ип-то в търсачките

[Николай Илиев]

Явно не е проблем с udp flood. Добавих правила udp flood и банна google dns 8.8.8.8 и DNS на доставчика.

В profile dns периодично скача от 0 до 50% ?

[Networker]

Виж тук:

 

[Николай Илиев]

Както и преди това казах проблема не е типичния udp flood. Създават се голям брой конекций но те не правят почти никакъв трафик. Докато бях с TP-link с dd-wrt рутера падаше при 1200 конекций  проблема се ограничаваше с намаляване на UDP Timeout. В микротика не намирам тази опция но дори и натоварен на 100% с 4000+ конекций интернета не пада.

Пробвах различни правила от темите в форума но без особен успех- банват ми IP-то на сървара или  DNS-ите. 

Със какво правило мога да огранича броя на UDP конекцийте на порт53 от 1 външно ИП?  

[111111]

Това ти е днс порта който си разрешил отвън,

по напред ти бях дал правило за забрана на входящите отвън портове,

ама явно толкова и си го приложил

[Николай Илиев]

Ако става въпрос за това правило:

 

/ip firewall filter
add action=reject chain=input comment="deny from WAN" in-interface=WAN

 

сложил съм го още вчера даже го преместих на първо място но няма ефект за UDP 53 порт.

Не съм отварял DNS порта към вътрешната мрежа.

[hgd]

Ако става въпрос за това правило:

 

/ip firewall filter

add action=reject chain=input comment="deny from WAN" in-interface=WAN

 

сложил съм го още вчера даже го преместих на първо място но няма ефект за UDP 53 порт.

Не съм отварял DNS порта към вътрешната мрежа.

Доколкото виждам от първата снимка в темата - интерфейса ти се казва WAN1. Май се налага да го редактираш правилото.

[Николай Илиев]

И без редактиране си намира WAN1 проблема е че изцяло блокира DNS-а през рутера към вътрешната мрежа. 

Мисля че по добре да се лимитира по някакъв начин броя на входящите конекций от всяко IP. 

Редактирано 21 Юни, 2013 от Николай Илиев

[111111]

Нещо си се объркал
за да имаш интернет не е нужно отвън да може да те достъпват 
вътрешните заявки винаги получават отговор
то затова е измислен протокола за рутиране и маскарадиране

[Николай Илиев]

Предполагам че съм объркал нещо в настойките за рутиране и маскарадиране защото при включено правило трябва да сменям DNS-a на компютрите от 192.168.1.1 с вънншен DNS за да имат нет.

От пинг конзолата на микротика спира пинга към всякакви външни адреси.
 

Редактирано 21 Юни, 2013 от Николай Илиев

[111111]

Дай един резултат от терминала на 

 /ip firewall export

за да не ти гадаеме идеологиите

[Николай Илиев]

И само с първото правило всичко друго изключено пак спира интернета ако се ползва за DNS IP-то на рутера.

[admin@MikroTik] > /ip firewall export        
# jun/22/2013 03:02:09 by RouterOS 6.1
# software id = XWF8-PU47
#
/ip firewall connection tracking
set udp-timeout=5s
/ip firewall filter
add action=reject chain=input comment="deny from WAN1" in-interface=WAN1
add action=jump chain=forward comment="Block UDP flood" connection-state=new jump-target=block-ddos
add action=drop chain=forward connection-state=new dst-address-list=ddosed src-address-list=ddoser
add action=return chain=block-ddos dst-limit=20,30,src-address/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=block-ddos
add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=forward comment="dropping port scanners" src-address-list="port scanners"
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add chain=input comment="Allow Established connections" connection-state=established
add action=drop chain=forward comment="drop invalid connections" connection-state=invalid
add chain=forward comment="allow already established connections" connection-state=established
add chain=forward comment="allow related connections" connection-state=related
add action=jump chain=forward comment="Make jumps to new chains" jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 protocol=tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=dst-nat chain=dstnat dst-port=44044 in-interface=WAN1 protocol=tcp to-addresses=192.168.1.150 to-ports=44044
add action=dst-nat chain=dstnat dst-port=14000 in-interface=WAN1 protocol=tcp to-addresses=192.168.1.5 to-ports=14000
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes

[111111]

На нито едно правило не е зададен интерфейс или изключваща адресна група.

[Николай Илиев]

Казах че съм нов в RouterOs за това пиша в раздела за начинаещи.Правилата ги преписах от разни форуми. 

На това правило е зададен входящия интерфеис- WAN1

/ip firewall filter
add action=reject chain=input comment="deny from WAN1" in-interface=WAN1

но проблема си остава "can't resolve dns" и когато всички други правила от firewall са изключени . Предполагам че тук трябва да се добави нещо?

/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1

[111111]

в IP DNS има една отметка зададена ли е както и днс сървъри

какъв е днс на машините зад микротика?

 

примерите които си дал са за маскарадинга и за правилото което ти дадох
ноне и за останалите групи правила които си сложил