Jump to content
Калькуляторы

Менее проседающий CPU способ фильтрации из 2-х

Допустим,есть список из 1000 адресов,который нужно зафильтровать.

 

2 варианта:

 

1) отфильтровать файерволом (chain=forward action=drop)

2) суммаризировать и занульроутить (type=blackhole)

 

Какой будет меньше грузить Mikrotik (cpu) или не стоит заморачиваться,выигрыша не будет в плане производительности?

Share this post


Link to post
Share on other sites

суммаризировать

что под этим подразумеваете?

 

а так, естественно блекхолить дешевле с точки зрения ресурсов, это ж по сути тупой роутинг

Share this post


Link to post
Share on other sites

суммаризировать

что под этим подразумеваете?

 

Ну блин как это)? Route summarization,сложить в суперсетку,н-р: 192.168.0.0/24 + 192.168.1.0/24 + 192.168.2.0/24 -> 192.168.0.0/16

 

а так, естественно блекхолить дешевле с точки зрения ресурсов, это ж по сути тупой роутинг

 

Да хрен тут угадаешь,это же реализацией определяется.

Edited by fspi

Share this post


Link to post
Share on other sites

сложить в суперсетку

если вам все адреса из этих префиксов нужно заблочить, то естественно нужно блекхолить весь префикс, если же нужно только отдельные хосты, то так не получится.

Реальзация route type=blackhole это простой роутинг, тоже самое что и роут на через интерфейс, это намного более простая операция для роутера, нежели анализ по правилам фаеровола

Share this post


Link to post
Share on other sites

если вам все адреса из этих префиксов нужно заблочить, то естественно нужно блекхолить весь префикс, если же нужно только отдельные хосты, то так не получится.

 

Я в курсе,я имел ввиду,суммаризовать по возможности (если быть точнее).

Кстати,не подскажите,какой максимальный размер таблицы маршрутизации на mikrotik?

Edited by fspi

Share this post


Link to post
Share on other sites

ipset спасёт отца русской демократии, в терминологии говнотика address-list, блекхол, да, лучше.

Share this post


Link to post
Share on other sites

Первый пункт смените с firewall на raw rules. Расход будет в разы меньше при большей производительности.

firewall фильтровал обычный UDP флуд и сдох при 1-1.1 гбит/с (72 ядра в полку на CCR1072) DNS Amplification.

Raw же выдержал 4-5 гбит/с при расходе 10-11% CPU. Последний хорошо работает с address-list.

Что вам лучше зависит от задачи которая поставлена. Список из 1000 ипов, какой? Атакующие или просто фильтр этих адресов т.е. статичный?

ncU5wWaewZDzPdnH.png

1) Обычный firewall

2) Raw

 

post-93584-012871900 1497373343_thumb.png

Edited by xakep7

Share this post


Link to post
Share on other sites

Так если у вас просто список IP или подсетей - нужно взять отдельный микротик, настроить на нем OSPF, и прописывать на пустом бридже IP адреса и сети, которые нужно заблокировать. Они разлетятся на все микротики и никто ничего на эти адреса во внешнюю сеть передать не сможет.

Share this post


Link to post
Share on other sites

Так если у вас просто список IP или подсетей - нужно взять отдельный микротик, настроить на нем OSPF, и прописывать на пустом бридже IP адреса и сети, которые нужно заблокировать. Они разлетятся на все микротики и никто ничего на эти адреса во внешнюю сеть передать не сможет.

Нужно больше микротиков!

13808231834320.jpg

Edited by xakep7

Share this post


Link to post
Share on other sites

Атакующие или просто фильтр этих адресов т.е. статичный?

 

Статичный,ограничение доступа к определенным ресурсам. Может быть и более 1000.

Share this post


Link to post
Share on other sites

Raw же выдержал 4-5 гбит/с при расходе 10-11% CPU. Последний хорошо работает с address-list.

 

Очень интересно,сколько было адресов в списке?

Share this post


Link to post
Share on other sites

Очень интересно,сколько было адресов в списке?

Точно не скажу т.к. не скринил, основную нагрузку давал трафик (routing/netwoking), как видно на скрине.

 

Сейчас список выглядит так:

241dbe6fb3.png

брут ssh/samba/mikrotik с автодобавлением адресов

Edited by xakep7

Share this post


Link to post
Share on other sites

Не проще ssh на другой порт перевесить?

Share this post


Link to post
Share on other sites

Не проще ssh на другой порт перевесить?

За тиком висят выделенные сервера и VPS. Как у всех разом сменить порт, учитывая что все сервера принадлежат разным людям?

Так же за ним сидит малый процент корпоративных клиентов у которых стоят mikrotik rb2011.

Edited by xakep7

Share this post


Link to post
Share on other sites

Можно сделать adress-list с разрешёнными ИР для ssh в Firewall или прямо на services. Такой вариант неподходит ?

Edited by mafijs

Share this post


Link to post
Share on other sites

Можно сделать adress-list с разрешёнными ИР для ssh в Firewall или прямо на services. Такой вариант неподходит ?

Внимательно перечитайте мое сообщение. К серверам подключаются извне в том числе по ssh. Железка стоит в импровизированном Дата-Центре

Edited by xakep7

Share this post


Link to post
Share on other sites

За тиком висят выделенные сервера и VPS

Их проблемы. Мощности им дали, пусть что хотят с ними, то и делают. Это если не вдаваться в то, что есть NAT и за этими IP могут сидеть вполне себе потенциальные юзеры этих серверов. Получается как в армии - за косяк одного страдает вся рота(все клиенты, висящие на этом ip). Так что если и занесла б меня судьба к такому "хостеру", при том, что хостинг в нормальных ДЦ копейки сейчас стоит, то быстро бы от него свалил за такие махинации с моим трафиком.

Share this post


Link to post
Share on other sites

За тиком висят выделенные сервера и VPS

Их проблемы. Мощности им дали, пусть что хотят с ними, то и делают. Это если не вдаваться в то, что есть NAT и за этими IP могут сидеть вполне себе потенциальные юзеры этих серверов. Получается как в армии - за косяк одного страдает вся рота(все клиенты, висящие на этом ip). Так что если и занесла б меня судьба к такому "хостеру", при том, что хостинг в нормальных ДЦ копейки сейчас стоит, то быстро бы от него свалил за такие махинации с моим трафиком.

По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу? Бред, вам так не кажется?

К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера (которые используются для технических целей самого ДЦ). Что является вполне адекватным решением. В основном, сейчас в списке числятся IP адреса Китая, Германии, Франции принадлежащие в основном Дата-Центрам, а не домашним провайдерам.

На самом же тике давно отключены все сервисы кроме winbox. Который в свою очередь ограничен одним пулом IP адресов, которым разрешен доступ к нему.

Edited by xakep7

Share this post


Link to post
Share on other sites

К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера

Не проще ssh на другой порт перевесить?

логично же. И не терять в производительности. И без того в никакой.

 

По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу?

если это делается без моего ведома - да. Сначала обращусь в ТП, не поможет - свалю в течении часа.

Share this post


Link to post
Share on other sites

К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера

Не проще ssh на другой порт перевесить?

логично же. И не терять в производительности. И без того в никакой.

Потерь производительности нет. Я не ТС :) Расход ресурсов на это дело менее 1%. На скринах моих указан udp флуд в 4-5 гбит/с, который и дает нагрузку такую при фильтрации.

 

По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу?

если это делается без моего ведома - да. Сначала обращусь в ТП, не поможет - свалю в течении часа.

Значит вам не подойдут такие ДЦ как OVH, Hetzner, Online, Mnogobyte, Ihor и многие другие.

Edited by xakep7

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this