Jump to content

Менее проседающий CPU способ фильтрации

fspi
 Share

Recommended Posts

fspi

fspi

Posted
Posted

Допустим,есть список из 1000 адресов,который нужно зафильтровать.

 

2 варианта:

 

1) отфильтровать файерволом (chain=forward action=drop)

2) суммаризировать и занульроутить (type=blackhole)

 

Какой будет меньше грузить Mikrotik (cpu) или не стоит заморачиваться,выигрыша не будет в плане производительности?

kaist

kaist

Posted
Posted

суммаризировать

что под этим подразумеваете?

 

а так, естественно блекхолить дешевле с точки зрения ресурсов, это ж по сути тупой роутинг

fspi

fspi

Posted
  • Author
Posted (edited)

суммаризировать

что под этим подразумеваете?

 

Ну блин как это)? Route summarization,сложить в суперсетку,н-р: 192.168.0.0/24 + 192.168.1.0/24 + 192.168.2.0/24 -> 192.168.0.0/16

 

а так, естественно блекхолить дешевле с точки зрения ресурсов, это ж по сути тупой роутинг

 

Да хрен тут угадаешь,это же реализацией определяется.

Edited by fspi
kaist

kaist

Posted
Posted

сложить в суперсетку

если вам все адреса из этих префиксов нужно заблочить, то естественно нужно блекхолить весь префикс, если же нужно только отдельные хосты, то так не получится.

Реальзация route type=blackhole это простой роутинг, тоже самое что и роут на через интерфейс, это намного более простая операция для роутера, нежели анализ по правилам фаеровола

fspi

fspi

Posted
  • Author
Posted (edited)

если вам все адреса из этих префиксов нужно заблочить, то естественно нужно блекхолить весь префикс, если же нужно только отдельные хосты, то так не получится.

 

Я в курсе,я имел ввиду,суммаризовать по возможности (если быть точнее).

Кстати,не подскажите,какой максимальный размер таблицы маршрутизации на mikrotik?

Edited by fspi
xakep7

xakep7

Posted
Posted (edited)

Первый пункт смените с firewall на raw rules. Расход будет в разы меньше при большей производительности.

firewall фильтровал обычный UDP флуд и сдох при 1-1.1 гбит/с (72 ядра в полку на CCR1072) DNS Amplification.

Raw же выдержал 4-5 гбит/с при расходе 10-11% CPU. Последний хорошо работает с address-list.

Что вам лучше зависит от задачи которая поставлена. Список из 1000 ипов, какой? Атакующие или просто фильтр этих адресов т.е. статичный?

ncU5wWaewZDzPdnH.png

1) Обычный firewall

2) Raw

 

post-93584-012871900 1497373343_thumb.png

Edited by xakep7
Saab95

Saab95

Posted
Posted

Так если у вас просто список IP или подсетей - нужно взять отдельный микротик, настроить на нем OSPF, и прописывать на пустом бридже IP адреса и сети, которые нужно заблокировать. Они разлетятся на все микротики и никто ничего на эти адреса во внешнюю сеть передать не сможет.

xakep7

xakep7

Posted
Posted (edited)

Так если у вас просто список IP или подсетей - нужно взять отдельный микротик, настроить на нем OSPF, и прописывать на пустом бридже IP адреса и сети, которые нужно заблокировать. Они разлетятся на все микротики и никто ничего на эти адреса во внешнюю сеть передать не сможет.

Нужно больше микротиков!

13808231834320.jpg

Edited by xakep7
fspi

fspi

Posted
  • Author
Posted

Атакующие или просто фильтр этих адресов т.е. статичный?

 

Статичный,ограничение доступа к определенным ресурсам. Может быть и более 1000.

fspi

fspi

Posted
  • Author
Posted

Raw же выдержал 4-5 гбит/с при расходе 10-11% CPU. Последний хорошо работает с address-list.

 

Очень интересно,сколько было адресов в списке?

xakep7

xakep7

Posted
Posted (edited)

Очень интересно,сколько было адресов в списке?

Точно не скажу т.к. не скринил, основную нагрузку давал трафик (routing/netwoking), как видно на скрине.

 

Сейчас список выглядит так:

241dbe6fb3.png

брут ssh/samba/mikrotik с автодобавлением адресов

Edited by xakep7
xakep7

xakep7

Posted
Posted (edited)

Не проще ssh на другой порт перевесить?

За тиком висят выделенные сервера и VPS. Как у всех разом сменить порт, учитывая что все сервера принадлежат разным людям?

Так же за ним сидит малый процент корпоративных клиентов у которых стоят mikrotik rb2011.

Edited by xakep7
xakep7

xakep7

Posted
Posted (edited)

Можно сделать adress-list с разрешёнными ИР для ssh в Firewall или прямо на services. Такой вариант неподходит ?

Внимательно перечитайте мое сообщение. К серверам подключаются извне в том числе по ssh. Железка стоит в импровизированном Дата-Центре

Edited by xakep7
myth

myth

Posted
Posted

За тиком висят выделенные сервера и VPS

Их проблемы. Мощности им дали, пусть что хотят с ними, то и делают. Это если не вдаваться в то, что есть NAT и за этими IP могут сидеть вполне себе потенциальные юзеры этих серверов. Получается как в армии - за косяк одного страдает вся рота(все клиенты, висящие на этом ip). Так что если и занесла б меня судьба к такому "хостеру", при том, что хостинг в нормальных ДЦ копейки сейчас стоит, то быстро бы от него свалил за такие махинации с моим трафиком.

xakep7

xakep7

Posted
Posted (edited)

За тиком висят выделенные сервера и VPS

Их проблемы. Мощности им дали, пусть что хотят с ними, то и делают. Это если не вдаваться в то, что есть NAT и за этими IP могут сидеть вполне себе потенциальные юзеры этих серверов. Получается как в армии - за косяк одного страдает вся рота(все клиенты, висящие на этом ip). Так что если и занесла б меня судьба к такому "хостеру", при том, что хостинг в нормальных ДЦ копейки сейчас стоит, то быстро бы от него свалил за такие махинации с моим трафиком.

По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу? Бред, вам так не кажется?

К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера (которые используются для технических целей самого ДЦ). Что является вполне адекватным решением. В основном, сейчас в списке числятся IP адреса Китая, Германии, Франции принадлежащие в основном Дата-Центрам, а не домашним провайдерам.

На самом же тике давно отключены все сервисы кроме winbox. Который в свою очередь ограничен одним пулом IP адресов, которым разрешен доступ к нему.

Edited by xakep7
myth

myth

Posted
Posted

К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера

Не проще ssh на другой порт перевесить?

логично же. И не терять в производительности. И без того в никакой.

 

По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу?

если это делается без моего ведома - да. Сначала обращусь в ТП, не поможет - свалю в течении часа.

xakep7

xakep7

Posted
Posted (edited)

К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера

Не проще ssh на другой порт перевесить?

логично же. И не терять в производительности. И без того в никакой.

Потерь производительности нет. Я не ТС :) Расход ресурсов на это дело менее 1%. На скринах моих указан udp флуд в 4-5 гбит/с, который и дает нагрузку такую при фильтрации.

 

По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу?

если это делается без моего ведома - да. Сначала обращусь в ТП, не поможет - свалю в течении часа.

Значит вам не подойдут такие ДЦ как OVH, Hetzner, Online, Mnogobyte, Ihor и многие другие.

Edited by xakep7

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.