Jump to content
  • 0

Микротик rb1100AH проблем!!!


Fibernet

Question

Здравеите имам строхотен проблем со Микротик 1000ах при вклучување на линк на една од wan интерфејсите веднага имам 100%load кога ке направам disable на истата cpu load е нормален 30-40 % помагајте колеги.Поздрав!

исклучив allow remote request во ip-dns  и сега е ок 

Link to comment
Share on other sites

Recommended Posts

  • 0

tools>profile виж какво твари процесора,след това провери дали нямаш прокси пуснато ако имаш го спри или си направи правило за flood  

chain=input action=drop protocol=tcp in-interface=SFP dst-port=8080 log=no l
og-prefix="

след това провери дали не те флудят по 53 порт тоест dns flood > ip firewall connections гледай дали вървят udp-та по 53 порт

Link to comment
Share on other sites

  • 0
  • Administrator
/ip fi fi chain=input in-interface=WAN action=drop

над това правило трябва да са разрешените портове

ако пак усещаш товар направи правило в ip firewall raw 

винаги описвай интерфейс защото ще загубиш достъп до устройството

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Му направив update на последната верзија  6.38 и сега е се ок

Edited by Fibernet
Link to comment
Share on other sites

  • 0
Преди 1 час, Fibernet написа:

Му направив update на последната верзија  6.38 и сега е се ок

и какво би му помогнало ако го събарят отвън ?

Edited by wowefect
  • Like 1
Link to comment
Share on other sites

  • 0
  • Administrator

В последната версия има правила вградени в DNS сървъра.

*) dns - added "max-concurrent-queries" and "max-concurrent-tcp-sessions" settings

 

 

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
Преди 23 часа, 111111 написа:

В последната версия има правила вградени в DNS сървъра.

*) dns - added "max-concurrent-queries" and "max-concurrent-tcp-sessions" settings

е те това не бях се загледал или изчел,благодаря :)

Link to comment
Share on other sites

  • 0
Преди 23 часа, 111111 написа:

В последната версия има правила вградени в DNS сървъра.

*) dns - added "max-concurrent-queries" and "max-concurrent-tcp-sessions" settings

тука какво да внесам кај max-concurrent-queries" and "max-concurrent-tcp-sessions ??

Link to comment
Share on other sites

  • 0
преди 1 минута, master написа:

Toест при 6.38 няма нужда от двете правила за тцп и удп на порт 53?

и аз това се чудя дали има нужда >

Link to comment
Share on other sites

  • 0
  • Administrator

Ако все пак искате да помагате на изпаднали в нужда китайци да отварят забранените им сайтове...

Сами си решавате дали ста публичен DNS или не.

 

/ip firewall filter
add action=accept chain=input comment=Winbox port=8291 protocol=tcp
add action=accept chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established,related in-interface=ether1-gateway
add action=fasttrack-connection chain=forward comment="fasttrack established+related" connection-state=established,related
add action=accept chain=forward comment="default configuration established+related" connection-state=established
add action=drop chain=forward comment="default configuration invalid drop" connection-state=invalid
add action=drop chain=forward comment="default configuration" 
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway

това е за общия случай, но ако има вътрешни рутирания трябва да се редактира както ако има и делене на скоростта.

----------
А това решава проблема хем със запитванията хем с процесорното време

/ip firewall raw
add action=drop chain=prerouting dst-port=53,123 in-interface=ether1-gateway protocol=tcp
add action=drop chain=prerouting dst-port=53,123 in-interface=ether1-gateway protocol=udp

RAW секцията не обработва пакети през чеинове и стъпки а ги обработва на вход, следователно процесора не се товари

 

-----

@Fibernet

Настройките по подразбиране на вградения DNS,

трябва да покриват изискванията на 50-100 потребителя.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Значи до колкото разбирам си остават правилата(днс тцп/удп) но е по-добре да са в raw таб-а за да се перстят ресурси.

Analog Audio™

Link to comment
Share on other sites

  • 0
  • Administrator

Aко не забелязваш проблеми с по бавни отговори нищо ако да увеличи с 50% стойностите.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

От версия 6.x не помня точно коя има проблем с DNS когато се зададе allow remote request позволява днс сървър-а ви да е публичен и да го вижда цял свят съответно страшно много заявки се изпращат към него започва трудно да ги обработва започва да вдига CPU и да генерира един излишен трафик и то не малък. Най лесното решение е да отрежете DNS-а за света

/ip firewall filter
add chain=input in-interface=ether1 protocol=udp dst-port=53 action=drop
add chain=input in-interface=ether1 protocol=tcp dst-port=53 action=drop

 

Link to comment
Share on other sites

  • 0
  • Administrator
Преди 13 часа, Null написа:

От версия 6.x не помня точно коя има проблем с DNS когато се зададе allow remote request позволява днс сървър-а ви да е публичен и да го вижда цял свят съответно страшно много заявки се изпращат към него започва трудно да ги обработва започва да вдига CPU и да генерира един излишен трафик и то не малък. Най лесното решение е да отрежете DNS-а за света


/ip firewall filter
add chain=input in-interface=ether1 protocol=udp dst-port=53 action=drop
add chain=input in-interface=ether1 protocol=tcp dst-port=53 action=drop

 

Това е правилния вариант прочети нагоре защо

/ip firewall raw
add action=drop chain=prerouting dst-port=53,123 in-interface=ether1-gateway protocol=tcp
add action=drop chain=prerouting dst-port=53,123 in-interface=ether1-gateway protocol=udp

 

allow remote request разрешава въобще днс-а,
останалото е оставено на потребителя как ще го ограничи.

  • Like 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.