Микротик rb1100AH проблем!!!

[Fibernet]

Здравеите имам строхотен проблем со Микротик 1000ах при вклучување на линк на една од wan интерфејсите веднага имам 100%load кога ке направам disable на истата cpu load е нормален 30-40 % помагајте колеги.Поздрав!

исклучив allow remote request во ip-dns  и сега е ок 

[wowefect]

tools>profile виж какво твари процесора,след това провери дали нямаш прокси пуснато ако имаш го спри или си направи правило за flood  

chain=input action=drop protocol=tcp in-interface=SFP dst-port=8080 log=no l
og-prefix="

след това провери дали не те флудят по 53 порт тоест dns flood > ip firewall connections гледай дали вървят udp-та по 53 порт

[111111]

/ip fi fi chain=input in-interface=WAN action=drop

над това правило трябва да са разрешените портове

ако пак усещаш товар направи правило в ip firewall raw 

винаги описвай интерфейс защото ще загубиш достъп до устройството

[Fibernet]

Му направив update на последната верзија  6.38 и сега е се ок

Редактирано 6 Януари, 2017 от Fibernet

[wowefect]

Преди 1 час, Fibernet написа:

Му направив update на последната верзија  6.38 и сега е се ок

и какво би му помогнало ако го събарят отвън ?

Редактирано 6 Януари, 2017 от wowefect

[111111]

В последната версия има правила вградени в DNS сървъра.

*) dns - added "max-concurrent-queries" and "max-concurrent-tcp-sessions" settings

 

 

 

[wowefect]

Преди 23 часа, 111111 написа:

В последната версия има правила вградени в DNS сървъра.

*) dns - added "max-concurrent-queries" and "max-concurrent-tcp-sessions" settings

е те това не бях се загледал или изчел,благодаря

[Fibernet]

Преди 23 часа, 111111 написа:

В последната версия има правила вградени в DNS сървъра.

*) dns - added "max-concurrent-queries" and "max-concurrent-tcp-sessions" settings

тука какво да внесам кај max-concurrent-queries" and "max-concurrent-tcp-sessions ??

[master]

Toест при 6.38 няма нужда от двете правила за тцп и удп на порт 53?

[wowefect]

преди 1 минута, master написа:

Toест при 6.38 няма нужда от двете правила за тцп и удп на порт 53?

и аз това се чудя дали има нужда >

[111111]

Ако все пак искате да помагате на изпаднали в нужда китайци да отварят забранените им сайтове...

Сами си решавате дали ста публичен DNS или не.

 

/ip firewall filter
add action=accept chain=input comment=Winbox port=8291 protocol=tcp
add action=accept chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established,related in-interface=ether1-gateway
add action=fasttrack-connection chain=forward comment="fasttrack established+related" connection-state=established,related
add action=accept chain=forward comment="default configuration established+related" connection-state=established
add action=drop chain=forward comment="default configuration invalid drop" connection-state=invalid
add action=drop chain=forward comment="default configuration" 
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway

това е за общия случай, но ако има вътрешни рутирания трябва да се редактира както ако има и делене на скоростта.

----------
А това решава проблема хем със запитванията хем с процесорното време

/ip firewall raw
add action=drop chain=prerouting dst-port=53,123 in-interface=ether1-gateway protocol=tcp
add action=drop chain=prerouting dst-port=53,123 in-interface=ether1-gateway protocol=udp

RAW секцията не обработва пакети през чеинове и стъпки а ги обработва на вход, следователно процесора не се товари

 

-----

@Fibernet

Настройките по подразбиране на вградения DNS,

трябва да покриват изискванията на 50-100 потребителя.

[master]

Значи до колкото разбирам си остават правилата(днс тцп/удп) но е по-добре да са в raw таб-а за да се перстят ресурси.

[Fibernet]

ако имам 200 потребители како треба да биде во ДНС?

[111111]

Aко не забелязваш проблеми с по бавни отговори нищо ако да увеличи с 50% стойностите.

[Null]

От версия 6.x не помня точно коя има проблем с DNS когато се зададе allow remote request позволява днс сървър-а ви да е публичен и да го вижда цял свят съответно страшно много заявки се изпращат към него започва трудно да ги обработва започва да вдига CPU и да генерира един излишен трафик и то не малък. Най лесното решение е да отрежете DNS-а за света

/ip firewall filter
add chain=input in-interface=ether1 protocol=udp dst-port=53 action=drop
add chain=input in-interface=ether1 protocol=tcp dst-port=53 action=drop

 

[111111]

Преди 13 часа, Null написа:

От версия 6.x не помня точно коя има проблем с DNS когато се зададе allow remote request позволява днс сървър-а ви да е публичен и да го вижда цял свят съответно страшно много заявки се изпращат към него започва трудно да ги обработва започва да вдига CPU и да генерира един излишен трафик и то не малък. Най лесното решение е да отрежете DNS-а за света

/ip firewall filter
add chain=input in-interface=ether1 protocol=udp dst-port=53 action=drop
add chain=input in-interface=ether1 protocol=tcp dst-port=53 action=drop

 

Това е правилния вариант прочети нагоре защо

/ip firewall raw
add action=drop chain=prerouting dst-port=53,123 in-interface=ether1-gateway protocol=tcp
add action=drop chain=prerouting dst-port=53,123 in-interface=ether1-gateway protocol=udp

 

allow remote request разрешава въобще днс-а,
останалото е оставено на потребителя как ще го ограничи.