fspi Posted June 13, 2017 · Report post Допустим,есть список из 1000 адресов,который нужно зафильтровать. 2 варианта: 1) отфильтровать файерволом (chain=forward action=drop) 2) суммаризировать и занульроутить (type=blackhole) Какой будет меньше грузить Mikrotik (cpu) или не стоит заморачиваться,выигрыша не будет в плане производительности? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kaist Posted June 13, 2017 · Report post суммаризировать что под этим подразумеваете? а так, естественно блекхолить дешевле с точки зрения ресурсов, это ж по сути тупой роутинг Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fspi Posted June 13, 2017 (edited) · Report post суммаризировать что под этим подразумеваете? Ну блин как это)? Route summarization,сложить в суперсетку,н-р: 192.168.0.0/24 + 192.168.1.0/24 + 192.168.2.0/24 -> 192.168.0.0/16 а так, естественно блекхолить дешевле с точки зрения ресурсов, это ж по сути тупой роутинг Да хрен тут угадаешь,это же реализацией определяется. Edited June 13, 2017 by fspi Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kaist Posted June 13, 2017 · Report post сложить в суперсетку если вам все адреса из этих префиксов нужно заблочить, то естественно нужно блекхолить весь префикс, если же нужно только отдельные хосты, то так не получится. Реальзация route type=blackhole это простой роутинг, тоже самое что и роут на через интерфейс, это намного более простая операция для роутера, нежели анализ по правилам фаеровола Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fspi Posted June 13, 2017 (edited) · Report post если вам все адреса из этих префиксов нужно заблочить, то естественно нужно блекхолить весь префикс, если же нужно только отдельные хосты, то так не получится. Я в курсе,я имел ввиду,суммаризовать по возможности (если быть точнее). Кстати,не подскажите,какой максимальный размер таблицы маршрутизации на mikrotik? Edited June 13, 2017 by fspi Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted June 13, 2017 · Report post ipset спасёт отца русской демократии, в терминологии говнотика address-list, блекхол, да, лучше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xakep7 Posted June 13, 2017 (edited) · Report post Первый пункт смените с firewall на raw rules. Расход будет в разы меньше при большей производительности. firewall фильтровал обычный UDP флуд и сдох при 1-1.1 гбит/с (72 ядра в полку на CCR1072) DNS Amplification. Raw же выдержал 4-5 гбит/с при расходе 10-11% CPU. Последний хорошо работает с address-list. Что вам лучше зависит от задачи которая поставлена. Список из 1000 ипов, какой? Атакующие или просто фильтр этих адресов т.е. статичный? 1) Обычный firewall 2) Raw Edited June 13, 2017 by xakep7 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted June 13, 2017 · Report post Так если у вас просто список IP или подсетей - нужно взять отдельный микротик, настроить на нем OSPF, и прописывать на пустом бридже IP адреса и сети, которые нужно заблокировать. Они разлетятся на все микротики и никто ничего на эти адреса во внешнюю сеть передать не сможет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xakep7 Posted June 13, 2017 (edited) · Report post Так если у вас просто список IP или подсетей - нужно взять отдельный микротик, настроить на нем OSPF, и прописывать на пустом бридже IP адреса и сети, которые нужно заблокировать. Они разлетятся на все микротики и никто ничего на эти адреса во внешнюю сеть передать не сможет. Нужно больше микротиков! Edited June 13, 2017 by xakep7 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fspi Posted June 14, 2017 · Report post Атакующие или просто фильтр этих адресов т.е. статичный? Статичный,ограничение доступа к определенным ресурсам. Может быть и более 1000. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fspi Posted June 14, 2017 · Report post Raw же выдержал 4-5 гбит/с при расходе 10-11% CPU. Последний хорошо работает с address-list. Очень интересно,сколько было адресов в списке? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xakep7 Posted June 14, 2017 (edited) · Report post Очень интересно,сколько было адресов в списке? Точно не скажу т.к. не скринил, основную нагрузку давал трафик (routing/netwoking), как видно на скрине. Сейчас список выглядит так: брут ssh/samba/mikrotik с автодобавлением адресов Edited June 16, 2017 by xakep7 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted June 14, 2017 · Report post Не проще ssh на другой порт перевесить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xakep7 Posted June 16, 2017 (edited) · Report post Не проще ssh на другой порт перевесить? За тиком висят выделенные сервера и VPS. Как у всех разом сменить порт, учитывая что все сервера принадлежат разным людям? Так же за ним сидит малый процент корпоративных клиентов у которых стоят mikrotik rb2011. Edited June 16, 2017 by xakep7 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mafijs Posted June 16, 2017 (edited) · Report post Можно сделать adress-list с разрешёнными ИР для ssh в Firewall или прямо на services. Такой вариант неподходит ? Edited June 16, 2017 by mafijs Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xakep7 Posted June 16, 2017 (edited) · Report post Можно сделать adress-list с разрешёнными ИР для ssh в Firewall или прямо на services. Такой вариант неподходит ? Внимательно перечитайте мое сообщение. К серверам подключаются извне в том числе по ssh. Железка стоит в импровизированном Дата-Центре Edited June 16, 2017 by xakep7 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted June 17, 2017 · Report post За тиком висят выделенные сервера и VPS Их проблемы. Мощности им дали, пусть что хотят с ними, то и делают. Это если не вдаваться в то, что есть NAT и за этими IP могут сидеть вполне себе потенциальные юзеры этих серверов. Получается как в армии - за косяк одного страдает вся рота(все клиенты, висящие на этом ip). Так что если и занесла б меня судьба к такому "хостеру", при том, что хостинг в нормальных ДЦ копейки сейчас стоит, то быстро бы от него свалил за такие махинации с моим трафиком. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xakep7 Posted June 17, 2017 (edited) · Report post За тиком висят выделенные сервера и VPS Их проблемы. Мощности им дали, пусть что хотят с ними, то и делают. Это если не вдаваться в то, что есть NAT и за этими IP могут сидеть вполне себе потенциальные юзеры этих серверов. Получается как в армии - за косяк одного страдает вся рота(все клиенты, висящие на этом ip). Так что если и занесла б меня судьба к такому "хостеру", при том, что хостинг в нормальных ДЦ копейки сейчас стоит, то быстро бы от него свалил за такие махинации с моим трафиком. По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу? Бред, вам так не кажется? К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера (которые используются для технических целей самого ДЦ). Что является вполне адекватным решением. В основном, сейчас в списке числятся IP адреса Китая, Германии, Франции принадлежащие в основном Дата-Центрам, а не домашним провайдерам. На самом же тике давно отключены все сервисы кроме winbox. Который в свою очередь ограничен одним пулом IP адресов, которым разрешен доступ к нему. Edited June 17, 2017 by xakep7 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted June 18, 2017 · Report post К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера Не проще ssh на другой порт перевесить? логично же. И не терять в производительности. И без того в никакой. По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу? если это делается без моего ведома - да. Сначала обращусь в ТП, не поможет - свалю в течении часа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xakep7 Posted June 18, 2017 (edited) · Report post К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера Не проще ssh на другой порт перевесить? логично же. И не терять в производительности. И без того в никакой. Потерь производительности нет. Я не ТС :) Расход ресурсов на это дело менее 1%. На скринах моих указан udp флуд в 4-5 гбит/с, который и дает нагрузку такую при фильтрации. По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу? если это делается без моего ведома - да. Сначала обращусь в ТП, не поможет - свалю в течении часа. Значит вам не подойдут такие ДЦ как OVH, Hetzner, Online, Mnogobyte, Ihor и многие другие. Edited June 18, 2017 by xakep7 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted June 18, 2017 · Report post Значит не подойдут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...