Tygra Posted November 1, 2017 Posted November 1, 2017 Доброго времени суток. Пишу скрипт управление фаерволом. Правил много , несколько тысяч. Сам скрипт генерируется на внешнем сервере , так оказалось проще , потом загружается и импортируется. Собственно при выполнении скрипта правила добавляются и удаляются крайне медленно . Удаляю по признаку (мак адрес) , добавляю обычно add и т.д. ... Удаление в среднем 1-2 правила в 1 секунду , добавление быстрее ... Удаляю вот такой конструкцией : /interface bridge filter remove [find where src-mac-address~"00:00:00:00:00:03"] Да и в принципе , даже в винбоксе , если попытаться выделить сразу много правил и удалить , то дело это идет медленно и частенько приводит вообще к дисконнекту винбокса ... Это нормально или только у меня так? Можно ли это как то исправить ? P\S Железяка CCR1016 .... Вставить ник Quote
alibek Posted November 1, 2017 Posted November 1, 2017 Несколько тысяч правил это вообще ненормально. Но если такое случается, обычно конфигурацию загружают на устройство целиком (по tftp). Вставить ник Quote
Tygra Posted November 1, 2017 Author Posted November 1, 2017 Да нормально ... использование не стандартно и посему должно быть все ОК . Скрипт загружается по фтп , но изменения происходят достаточно часто , от того долгое удаление правил не много напрягает.... М\б возможно как то по другому удалять ? Ну кроме удаления по номеру , там попробуй просчитай куда на сколько сдвинется ... а принт делать каждый раз еще дольше ... Вставить ник Quote
myth Posted November 1, 2017 Posted November 1, 2017 29 минут назад, alibek сказал: Несколько тысяч правил это вообще ненормально. +++ Вставить ник Quote
Tygra Posted November 1, 2017 Author Posted November 1, 2017 42 минуты назад, alibek сказал: Несколько тысяч правил это вообще ненормально. Но если такое случается, обычно конфигурацию загружают на устройство целиком (по tftp). 13 минут назад, myth сказал: +++ Поймите меня правильно , я это делаю не от того что я такой упертый сильно или тупой , это действительно необходимо, таковы обстоятельства. Вы привыкли видеть в микроте маршрутизатор , для него много правил это не нормально и это логично , но здесь он в роли умного свитча L2 . Вставить ник Quote
YuryD Posted November 2, 2017 Posted November 2, 2017 20 часов назад, Tygra сказал: Вы привыкли видеть в микроте маршрутизатор , для него много правил это не нормально и это логично , но здесь он в роли умного свитча L2 . Ок, какие правила вы можете придумать для l2 ? Кроме qos и мак-адресов мне что-то на l2 не придумывается... Вставить ник Quote
myth Posted November 2, 2017 Posted November 2, 2017 Он по макам что-то резать собрался. Порядка 6000 хостов. Поштучно. Вставить ник Quote
YuryD Posted November 2, 2017 Posted November 2, 2017 4 минуты назад, myth сказал: Он по макам что-то резать собрался. Порядка 6000 хостов. Поштучно. Бери крупнее - 97к в запретинфо, и всё по макам. Вставить ник Quote
Tygra Posted November 2, 2017 Author Posted November 2, 2017 (edited) Откровенно говоря мне не понятно ваше глумление , я прекрасно понимаю что такое полная фильтрация 5гб потока через 6000 правил, это смерть почти для любой железки , я уже пытался обьяснить как оно будет работать , но не был услышан . Собственно повторять не буду , кто не хочет видеть тот не увидит как не распинайся ... Планируется до 5гб потока на две железки CCR1016 . ... Но собственно зачем я об этом , вы ведь привыкли шаблонами мыслить , нет смысла вам что то рассказывать .... Скорость обработки поднял , стало приемлимо. Но удаляет правила все равно как то не быстро, добавляет почти мгновенно ..... Скрипт почти закончил , еще не много причесать и можно пробовать в нагрузке... Edited November 2, 2017 by Tygra Вставить ник Quote
alibek Posted November 2, 2017 Posted November 2, 2017 Навряд ли можно получить на таком подходе что-то путное. Если сильно надо - храните текущие ACL на сервере, делайте diff с новыми и применяйте на Микротик только то, что изменилось. Чтобы упростить учёт перенумерации, делайте с конца. Вставить ник Quote
Tygra Posted November 2, 2017 Author Posted November 2, 2017 26 минут назад, alibek сказал: Навряд ли можно получить на таком подходе что-то путное. Если сильно надо - храните текущие ACL на сервере, делайте diff с новыми и применяйте на Микротик только то, что изменилось. Чтобы упростить учёт перенумерации, делайте с конца. Та да, так и делается , я про случай уже с избранными правилами говорю . Но удаление по номеру правила пока не думал как просчитать ... Эмм с конца , в смысле выбрать правила под удаление, сделать список по номеру правила, отсортировать от обратного и удалять с наибольшего номера ? Тоже интересно , надо попробовать , спасибо .. Вставить ник Quote
myth Posted November 2, 2017 Posted November 2, 2017 1 час назад, YuryD сказал: Бери крупнее - 97к в запретинфо, и всё по макам. заблокировать default gw... Пожалуй, это выход))) Вставить ник Quote
Tygra Posted November 3, 2017 Author Posted November 3, 2017 myth Попрошу вас не флудить в чужой теме и не заниматься троллингом , займитесь чем нибудь более полезным для сообщества . Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.