Перейти к содержимому
Калькуляторы

Менее проседающий CPU способ фильтрации из 2-х

Допустим,есть список из 1000 адресов,который нужно зафильтровать.

 

2 варианта:

 

1) отфильтровать файерволом (chain=forward action=drop)

2) суммаризировать и занульроутить (type=blackhole)

 

Какой будет меньше грузить Mikrotik (cpu) или не стоит заморачиваться,выигрыша не будет в плане производительности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

суммаризировать

что под этим подразумеваете?

 

а так, естественно блекхолить дешевле с точки зрения ресурсов, это ж по сути тупой роутинг

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

суммаризировать

что под этим подразумеваете?

 

Ну блин как это)? Route summarization,сложить в суперсетку,н-р: 192.168.0.0/24 + 192.168.1.0/24 + 192.168.2.0/24 -> 192.168.0.0/16

 

а так, естественно блекхолить дешевле с точки зрения ресурсов, это ж по сути тупой роутинг

 

Да хрен тут угадаешь,это же реализацией определяется.

Изменено пользователем fspi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сложить в суперсетку

если вам все адреса из этих префиксов нужно заблочить, то естественно нужно блекхолить весь префикс, если же нужно только отдельные хосты, то так не получится.

Реальзация route type=blackhole это простой роутинг, тоже самое что и роут на через интерфейс, это намного более простая операция для роутера, нежели анализ по правилам фаеровола

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если вам все адреса из этих префиксов нужно заблочить, то естественно нужно блекхолить весь префикс, если же нужно только отдельные хосты, то так не получится.

 

Я в курсе,я имел ввиду,суммаризовать по возможности (если быть точнее).

Кстати,не подскажите,какой максимальный размер таблицы маршрутизации на mikrotik?

Изменено пользователем fspi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ipset спасёт отца русской демократии, в терминологии говнотика address-list, блекхол, да, лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Первый пункт смените с firewall на raw rules. Расход будет в разы меньше при большей производительности.

firewall фильтровал обычный UDP флуд и сдох при 1-1.1 гбит/с (72 ядра в полку на CCR1072) DNS Amplification.

Raw же выдержал 4-5 гбит/с при расходе 10-11% CPU. Последний хорошо работает с address-list.

Что вам лучше зависит от задачи которая поставлена. Список из 1000 ипов, какой? Атакующие или просто фильтр этих адресов т.е. статичный?

ncU5wWaewZDzPdnH.png

1) Обычный firewall

2) Raw

 

post-93584-012871900 1497373343_thumb.png

Изменено пользователем xakep7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так если у вас просто список IP или подсетей - нужно взять отдельный микротик, настроить на нем OSPF, и прописывать на пустом бридже IP адреса и сети, которые нужно заблокировать. Они разлетятся на все микротики и никто ничего на эти адреса во внешнюю сеть передать не сможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так если у вас просто список IP или подсетей - нужно взять отдельный микротик, настроить на нем OSPF, и прописывать на пустом бридже IP адреса и сети, которые нужно заблокировать. Они разлетятся на все микротики и никто ничего на эти адреса во внешнюю сеть передать не сможет.

Нужно больше микротиков!

13808231834320.jpg

Изменено пользователем xakep7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Атакующие или просто фильтр этих адресов т.е. статичный?

 

Статичный,ограничение доступа к определенным ресурсам. Может быть и более 1000.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Raw же выдержал 4-5 гбит/с при расходе 10-11% CPU. Последний хорошо работает с address-list.

 

Очень интересно,сколько было адресов в списке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Очень интересно,сколько было адресов в списке?

Точно не скажу т.к. не скринил, основную нагрузку давал трафик (routing/netwoking), как видно на скрине.

 

Сейчас список выглядит так:

241dbe6fb3.png

брут ssh/samba/mikrotik с автодобавлением адресов

Изменено пользователем xakep7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не проще ssh на другой порт перевесить?

За тиком висят выделенные сервера и VPS. Как у всех разом сменить порт, учитывая что все сервера принадлежат разным людям?

Так же за ним сидит малый процент корпоративных клиентов у которых стоят mikrotik rb2011.

Изменено пользователем xakep7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно сделать adress-list с разрешёнными ИР для ssh в Firewall или прямо на services. Такой вариант неподходит ?

Изменено пользователем mafijs

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно сделать adress-list с разрешёнными ИР для ssh в Firewall или прямо на services. Такой вариант неподходит ?

Внимательно перечитайте мое сообщение. К серверам подключаются извне в том числе по ssh. Железка стоит в импровизированном Дата-Центре

Изменено пользователем xakep7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За тиком висят выделенные сервера и VPS

Их проблемы. Мощности им дали, пусть что хотят с ними, то и делают. Это если не вдаваться в то, что есть NAT и за этими IP могут сидеть вполне себе потенциальные юзеры этих серверов. Получается как в армии - за косяк одного страдает вся рота(все клиенты, висящие на этом ip). Так что если и занесла б меня судьба к такому "хостеру", при том, что хостинг в нормальных ДЦ копейки сейчас стоит, то быстро бы от него свалил за такие махинации с моим трафиком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За тиком висят выделенные сервера и VPS

Их проблемы. Мощности им дали, пусть что хотят с ними, то и делают. Это если не вдаваться в то, что есть NAT и за этими IP могут сидеть вполне себе потенциальные юзеры этих серверов. Получается как в армии - за косяк одного страдает вся рота(все клиенты, висящие на этом ip). Так что если и занесла б меня судьба к такому "хостеру", при том, что хостинг в нормальных ДЦ копейки сейчас стоит, то быстро бы от него свалил за такие махинации с моим трафиком.

По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу? Бред, вам так не кажется?

К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера (которые используются для технических целей самого ДЦ). Что является вполне адекватным решением. В основном, сейчас в списке числятся IP адреса Китая, Германии, Франции принадлежащие в основном Дата-Центрам, а не домашним провайдерам.

На самом же тике давно отключены все сервисы кроме winbox. Который в свою очередь ограничен одним пулом IP адресов, которым разрешен доступ к нему.

Изменено пользователем xakep7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера

Не проще ssh на другой порт перевесить?

логично же. И не терять в производительности. И без того в никакой.

 

По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу?

если это делается без моего ведома - да. Сначала обращусь в ТП, не поможет - свалю в течении часа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера

Не проще ssh на другой порт перевесить?

логично же. И не терять в производительности. И без того в никакой.

Потерь производительности нет. Я не ТС :) Расход ресурсов на это дело менее 1%. На скринах моих указан udp флуд в 4-5 гбит/с, который и дает нагрузку такую при фильтрации.

 

По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу?

если это делается без моего ведома - да. Сначала обращусь в ТП, не поможет - свалю в течении часа.

Значит вам не подойдут такие ДЦ как OVH, Hetzner, Online, Mnogobyte, Ihor и многие другие.

Изменено пользователем xakep7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.