fspi Опубликовано 13 июня, 2017 · Жалоба Допустим,есть список из 1000 адресов,который нужно зафильтровать. 2 варианта: 1) отфильтровать файерволом (chain=forward action=drop) 2) суммаризировать и занульроутить (type=blackhole) Какой будет меньше грузить Mikrotik (cpu) или не стоит заморачиваться,выигрыша не будет в плане производительности? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaist Опубликовано 13 июня, 2017 · Жалоба суммаризировать что под этим подразумеваете? а так, естественно блекхолить дешевле с точки зрения ресурсов, это ж по сути тупой роутинг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 13 июня, 2017 (изменено) · Жалоба суммаризировать что под этим подразумеваете? Ну блин как это)? Route summarization,сложить в суперсетку,н-р: 192.168.0.0/24 + 192.168.1.0/24 + 192.168.2.0/24 -> 192.168.0.0/16 а так, естественно блекхолить дешевле с точки зрения ресурсов, это ж по сути тупой роутинг Да хрен тут угадаешь,это же реализацией определяется. Изменено 13 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaist Опубликовано 13 июня, 2017 · Жалоба сложить в суперсетку если вам все адреса из этих префиксов нужно заблочить, то естественно нужно блекхолить весь префикс, если же нужно только отдельные хосты, то так не получится. Реальзация route type=blackhole это простой роутинг, тоже самое что и роут на через интерфейс, это намного более простая операция для роутера, нежели анализ по правилам фаеровола Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 13 июня, 2017 (изменено) · Жалоба если вам все адреса из этих префиксов нужно заблочить, то естественно нужно блекхолить весь префикс, если же нужно только отдельные хосты, то так не получится. Я в курсе,я имел ввиду,суммаризовать по возможности (если быть точнее). Кстати,не подскажите,какой максимальный размер таблицы маршрутизации на mikrotik? Изменено 13 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 13 июня, 2017 · Жалоба ipset спасёт отца русской демократии, в терминологии говнотика address-list, блекхол, да, лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 13 июня, 2017 (изменено) · Жалоба Первый пункт смените с firewall на raw rules. Расход будет в разы меньше при большей производительности. firewall фильтровал обычный UDP флуд и сдох при 1-1.1 гбит/с (72 ядра в полку на CCR1072) DNS Amplification. Raw же выдержал 4-5 гбит/с при расходе 10-11% CPU. Последний хорошо работает с address-list. Что вам лучше зависит от задачи которая поставлена. Список из 1000 ипов, какой? Атакующие или просто фильтр этих адресов т.е. статичный? 1) Обычный firewall 2) Raw Изменено 13 июня, 2017 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 июня, 2017 · Жалоба Так если у вас просто список IP или подсетей - нужно взять отдельный микротик, настроить на нем OSPF, и прописывать на пустом бридже IP адреса и сети, которые нужно заблокировать. Они разлетятся на все микротики и никто ничего на эти адреса во внешнюю сеть передать не сможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 13 июня, 2017 (изменено) · Жалоба Так если у вас просто список IP или подсетей - нужно взять отдельный микротик, настроить на нем OSPF, и прописывать на пустом бридже IP адреса и сети, которые нужно заблокировать. Они разлетятся на все микротики и никто ничего на эти адреса во внешнюю сеть передать не сможет. Нужно больше микротиков! Изменено 13 июня, 2017 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 14 июня, 2017 · Жалоба Атакующие или просто фильтр этих адресов т.е. статичный? Статичный,ограничение доступа к определенным ресурсам. Может быть и более 1000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 14 июня, 2017 · Жалоба Raw же выдержал 4-5 гбит/с при расходе 10-11% CPU. Последний хорошо работает с address-list. Очень интересно,сколько было адресов в списке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 14 июня, 2017 (изменено) · Жалоба Очень интересно,сколько было адресов в списке? Точно не скажу т.к. не скринил, основную нагрузку давал трафик (routing/netwoking), как видно на скрине. Сейчас список выглядит так: брут ssh/samba/mikrotik с автодобавлением адресов Изменено 16 июня, 2017 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 июня, 2017 · Жалоба Не проще ssh на другой порт перевесить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 16 июня, 2017 (изменено) · Жалоба Не проще ssh на другой порт перевесить? За тиком висят выделенные сервера и VPS. Как у всех разом сменить порт, учитывая что все сервера принадлежат разным людям? Так же за ним сидит малый процент корпоративных клиентов у которых стоят mikrotik rb2011. Изменено 16 июня, 2017 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 16 июня, 2017 (изменено) · Жалоба Можно сделать adress-list с разрешёнными ИР для ssh в Firewall или прямо на services. Такой вариант неподходит ? Изменено 16 июня, 2017 пользователем mafijs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 16 июня, 2017 (изменено) · Жалоба Можно сделать adress-list с разрешёнными ИР для ssh в Firewall или прямо на services. Такой вариант неподходит ? Внимательно перечитайте мое сообщение. К серверам подключаются извне в том числе по ssh. Железка стоит в импровизированном Дата-Центре Изменено 16 июня, 2017 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 17 июня, 2017 · Жалоба За тиком висят выделенные сервера и VPS Их проблемы. Мощности им дали, пусть что хотят с ними, то и делают. Это если не вдаваться в то, что есть NAT и за этими IP могут сидеть вполне себе потенциальные юзеры этих серверов. Получается как в армии - за косяк одного страдает вся рота(все клиенты, висящие на этом ip). Так что если и занесла б меня судьба к такому "хостеру", при том, что хостинг в нормальных ДЦ копейки сейчас стоит, то быстро бы от него свалил за такие махинации с моим трафиком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 17 июня, 2017 (изменено) · Жалоба За тиком висят выделенные сервера и VPS Их проблемы. Мощности им дали, пусть что хотят с ними, то и делают. Это если не вдаваться в то, что есть NAT и за этими IP могут сидеть вполне себе потенциальные юзеры этих серверов. Получается как в армии - за косяк одного страдает вся рота(все клиенты, висящие на этом ip). Так что если и занесла б меня судьба к такому "хостеру", при том, что хостинг в нормальных ДЦ копейки сейчас стоит, то быстро бы от него свалил за такие махинации с моим трафиком. По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу? Бред, вам так не кажется? К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера (которые используются для технических целей самого ДЦ). Что является вполне адекватным решением. В основном, сейчас в списке числятся IP адреса Китая, Германии, Франции принадлежащие в основном Дата-Центрам, а не домашним провайдерам. На самом же тике давно отключены все сервисы кроме winbox. Который в свою очередь ограничен одним пулом IP адресов, которым разрешен доступ к нему. Изменено 17 июня, 2017 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 18 июня, 2017 · Жалоба К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера Не проще ssh на другой порт перевесить? логично же. И не терять в производительности. И без того в никакой. По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу? если это делается без моего ведома - да. Сначала обращусь в ТП, не поможет - свалю в течении часа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 18 июня, 2017 (изменено) · Жалоба К тому же, блок дается только тем адресам, которые лезут на заведомо запрещенные сервера Не проще ssh на другой порт перевесить? логично же. И не терять в производительности. И без того в никакой. Потерь производительности нет. Я не ТС :) Расход ресурсов на это дело менее 1%. На скринах моих указан udp флуд в 4-5 гбит/с, который и дает нагрузку такую при фильтрации. По вашим рассуждениям любая защита от атак - махинация с трафиком и нужно быстро сваливать из ДЦ если он предоставляет такую услугу? если это делается без моего ведома - да. Сначала обращусь в ТП, не поможет - свалю в течении часа. Значит вам не подойдут такие ДЦ как OVH, Hetzner, Online, Mnogobyte, Ihor и многие другие. Изменено 18 июня, 2017 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 18 июня, 2017 · Жалоба Значит не подойдут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...