Tygra Posted November 1, 2017 Доброго времени суток. Пишу скрипт управление фаерволом. Правил много , несколько тысяч. Сам скрипт генерируется на внешнем сервере , так оказалось проще , потом загружается и импортируется. Собственно при выполнении скрипта правила добавляются и удаляются крайне медленно . Удаляю по признаку (мак адрес) , добавляю обычно add и т.д. ... Удаление в среднем 1-2 правила в 1 секунду , добавление быстрее ... Удаляю вот такой конструкцией : /interface bridge filter remove [find where src-mac-address~"00:00:00:00:00:03"] Да и в принципе , даже в винбоксе , если попытаться выделить сразу много правил и удалить , то дело это идет медленно и частенько приводит вообще к дисконнекту винбокса ... Это нормально или только у меня так? Можно ли это как то исправить ? P\S Железяка CCR1016 .... Share this post Link to post Share on other sites More sharing options...
alibek Posted November 1, 2017 Несколько тысяч правил это вообще ненормально. Но если такое случается, обычно конфигурацию загружают на устройство целиком (по tftp). Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 1, 2017 Да нормально ... использование не стандартно и посему должно быть все ОК . Скрипт загружается по фтп , но изменения происходят достаточно часто , от того долгое удаление правил не много напрягает.... М\б возможно как то по другому удалять ? Ну кроме удаления по номеру , там попробуй просчитай куда на сколько сдвинется ... а принт делать каждый раз еще дольше ... Share this post Link to post Share on other sites More sharing options...
myth Posted November 1, 2017 29 минут назад, alibek сказал: Несколько тысяч правил это вообще ненормально. +++ Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 1, 2017 42 минуты назад, alibek сказал: Несколько тысяч правил это вообще ненормально. Но если такое случается, обычно конфигурацию загружают на устройство целиком (по tftp). 13 минут назад, myth сказал: +++ Поймите меня правильно , я это делаю не от того что я такой упертый сильно или тупой , это действительно необходимо, таковы обстоятельства. Вы привыкли видеть в микроте маршрутизатор , для него много правил это не нормально и это логично , но здесь он в роли умного свитча L2 . Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 2, 2017 20 часов назад, Tygra сказал: Вы привыкли видеть в микроте маршрутизатор , для него много правил это не нормально и это логично , но здесь он в роли умного свитча L2 . Ок, какие правила вы можете придумать для l2 ? Кроме qos и мак-адресов мне что-то на l2 не придумывается... Share this post Link to post Share on other sites More sharing options...
myth Posted November 2, 2017 Он по макам что-то резать собрался. Порядка 6000 хостов. Поштучно. Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 2, 2017 4 минуты назад, myth сказал: Он по макам что-то резать собрался. Порядка 6000 хостов. Поштучно. Бери крупнее - 97к в запретинфо, и всё по макам. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 2, 2017 (edited) Откровенно говоря мне не понятно ваше глумление , я прекрасно понимаю что такое полная фильтрация 5гб потока через 6000 правил, это смерть почти для любой железки , я уже пытался обьяснить как оно будет работать , но не был услышан . Собственно повторять не буду , кто не хочет видеть тот не увидит как не распинайся ... Планируется до 5гб потока на две железки CCR1016 . ... Но собственно зачем я об этом , вы ведь привыкли шаблонами мыслить , нет смысла вам что то рассказывать .... Скорость обработки поднял , стало приемлимо. Но удаляет правила все равно как то не быстро, добавляет почти мгновенно ..... Скрипт почти закончил , еще не много причесать и можно пробовать в нагрузке... Edited November 2, 2017 by Tygra Share this post Link to post Share on other sites More sharing options...
alibek Posted November 2, 2017 Навряд ли можно получить на таком подходе что-то путное. Если сильно надо - храните текущие ACL на сервере, делайте diff с новыми и применяйте на Микротик только то, что изменилось. Чтобы упростить учёт перенумерации, делайте с конца. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 2, 2017 26 минут назад, alibek сказал: Навряд ли можно получить на таком подходе что-то путное. Если сильно надо - храните текущие ACL на сервере, делайте diff с новыми и применяйте на Микротик только то, что изменилось. Чтобы упростить учёт перенумерации, делайте с конца. Та да, так и делается , я про случай уже с избранными правилами говорю . Но удаление по номеру правила пока не думал как просчитать ... Эмм с конца , в смысле выбрать правила под удаление, сделать список по номеру правила, отсортировать от обратного и удалять с наибольшего номера ? Тоже интересно , надо попробовать , спасибо .. Share this post Link to post Share on other sites More sharing options...
myth Posted November 2, 2017 1 час назад, YuryD сказал: Бери крупнее - 97к в запретинфо, и всё по макам. заблокировать default gw... Пожалуй, это выход))) Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 3, 2017 myth Попрошу вас не флудить в чужой теме и не заниматься троллингом , займитесь чем нибудь более полезным для сообщества . Share this post Link to post Share on other sites More sharing options...
