Перейти к содержимому
Калькуляторы

Правила добавить\удалить

Доброго времени суток. Пишу скрипт управление фаерволом. Правил много , несколько тысяч. Сам скрипт генерируется на внешнем сервере , так оказалось проще , потом загружается и импортируется. Собственно при выполнении скрипта правила добавляются и удаляются крайне медленно . Удаляю по признаку (мак адрес)  , добавляю обычно add и т.д. ... Удаление в среднем 1-2 правила в 1 секунду , добавление быстрее ...

Удаляю вот такой конструкцией : 

/interface bridge filter remove [find where src-mac-address~"00:00:00:00:00:03"]

Да и в принципе , даже в винбоксе , если попытаться выделить сразу много правил и удалить , то дело это идет медленно и частенько приводит вообще к дисконнекту винбокса ... Это нормально или только у меня так?  Можно ли это как то исправить ?

 

P\S Железяка CCR1016 .... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Несколько тысяч правил это вообще ненормально.

Но если такое случается, обычно конфигурацию загружают на устройство целиком (по tftp).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да нормально ... использование не стандартно и посему должно быть все ОК . Скрипт загружается по фтп , но изменения происходят достаточно часто , от того долгое удаление правил не много напрягает.... М\б возможно как то по другому удалять ?  Ну кроме удаления по номеру , там попробуй просчитай куда на сколько сдвинется ... а принт делать каждый раз еще дольше ...  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

29 минут назад, alibek сказал:

Несколько тысяч правил это вообще ненормально.

+++

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

42 минуты назад, alibek сказал:

Несколько тысяч правил это вообще ненормально.

Но если такое случается, обычно конфигурацию загружают на устройство целиком (по tftp).

 

13 минут назад, myth сказал:

+++

Поймите меня правильно , я это делаю не от того что я такой упертый сильно или тупой , это действительно необходимо, таковы обстоятельства. Вы привыкли видеть в микроте маршрутизатор , для него много правил это не нормально и это логично , но здесь он в роли умного свитча L2 . 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, Tygra сказал:

 Вы привыкли видеть в микроте маршрутизатор , для него много правил это не нормально и это логично , но здесь он в роли умного свитча L2 . 

 Ок, какие правила вы можете придумать для l2 ? Кроме qos и мак-адресов мне что-то на l2 не придумывается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Он по макам что-то резать собрался. Порядка 6000 хостов. Поштучно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, myth сказал:

Он по макам что-то резать собрался. Порядка 6000 хостов. Поштучно.

 Бери крупнее - 97к в запретинфо, и всё по макам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Откровенно говоря мне не понятно ваше глумление , я прекрасно понимаю что такое полная фильтрация 5гб потока через 6000 правил, это смерть почти для любой железки , я уже пытался обьяснить как оно будет работать , но не был услышан . Собственно повторять не буду , кто не хочет видеть тот не увидит как не распинайся ... Планируется до 5гб потока на две железки CCR1016 . ... Но собственно зачем я об этом , вы ведь привыкли шаблонами мыслить , нет смысла вам что то рассказывать .... Скорость обработки поднял , стало приемлимо. Но удаляет правила все равно как то не быстро, добавляет почти мгновенно ..... Скрипт почти закончил , еще не много причесать и можно пробовать в нагрузке...  

Изменено пользователем Tygra

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Навряд ли можно получить на таком подходе что-то путное.

Если сильно надо - храните текущие ACL на сервере, делайте diff с новыми и применяйте на Микротик только то, что изменилось. Чтобы упростить учёт перенумерации, делайте с конца.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

26 минут назад, alibek сказал:

Навряд ли можно получить на таком подходе что-то путное.

Если сильно надо - храните текущие ACL на сервере, делайте diff с новыми и применяйте на Микротик только то, что изменилось. Чтобы упростить учёт перенумерации, делайте с конца.

Та да, так и делается , я про случай уже с избранными правилами говорю . Но удаление по номеру правила пока не думал как просчитать ... Эмм с конца , в смысле выбрать правила под удаление, сделать список по номеру правила, отсортировать от обратного и удалять с наибольшего номера ?  Тоже интересно , надо попробовать , спасибо ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, YuryD сказал:

Бери крупнее - 97к в запретинфо, и всё по макам.

заблокировать default gw... Пожалуй, это выход)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myth Попрошу вас не флудить в чужой теме и не заниматься троллингом , займитесь чем нибудь более полезным для сообщества .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.