Tygra Опубликовано 1 ноября, 2017 · Жалоба Доброго времени суток. Пишу скрипт управление фаерволом. Правил много , несколько тысяч. Сам скрипт генерируется на внешнем сервере , так оказалось проще , потом загружается и импортируется. Собственно при выполнении скрипта правила добавляются и удаляются крайне медленно . Удаляю по признаку (мак адрес) , добавляю обычно add и т.д. ... Удаление в среднем 1-2 правила в 1 секунду , добавление быстрее ... Удаляю вот такой конструкцией : /interface bridge filter remove [find where src-mac-address~"00:00:00:00:00:03"] Да и в принципе , даже в винбоксе , если попытаться выделить сразу много правил и удалить , то дело это идет медленно и частенько приводит вообще к дисконнекту винбокса ... Это нормально или только у меня так? Можно ли это как то исправить ? P\S Железяка CCR1016 .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 1 ноября, 2017 · Жалоба Несколько тысяч правил это вообще ненормально. Но если такое случается, обычно конфигурацию загружают на устройство целиком (по tftp). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 1 ноября, 2017 · Жалоба Да нормально ... использование не стандартно и посему должно быть все ОК . Скрипт загружается по фтп , но изменения происходят достаточно часто , от того долгое удаление правил не много напрягает.... М\б возможно как то по другому удалять ? Ну кроме удаления по номеру , там попробуй просчитай куда на сколько сдвинется ... а принт делать каждый раз еще дольше ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 1 ноября, 2017 · Жалоба 29 минут назад, alibek сказал: Несколько тысяч правил это вообще ненормально. +++ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 1 ноября, 2017 · Жалоба 42 минуты назад, alibek сказал: Несколько тысяч правил это вообще ненормально. Но если такое случается, обычно конфигурацию загружают на устройство целиком (по tftp). 13 минут назад, myth сказал: +++ Поймите меня правильно , я это делаю не от того что я такой упертый сильно или тупой , это действительно необходимо, таковы обстоятельства. Вы привыкли видеть в микроте маршрутизатор , для него много правил это не нормально и это логично , но здесь он в роли умного свитча L2 . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 2 ноября, 2017 · Жалоба 20 часов назад, Tygra сказал: Вы привыкли видеть в микроте маршрутизатор , для него много правил это не нормально и это логично , но здесь он в роли умного свитча L2 . Ок, какие правила вы можете придумать для l2 ? Кроме qos и мак-адресов мне что-то на l2 не придумывается... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 ноября, 2017 · Жалоба Он по макам что-то резать собрался. Порядка 6000 хостов. Поштучно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 2 ноября, 2017 · Жалоба 4 минуты назад, myth сказал: Он по макам что-то резать собрался. Порядка 6000 хостов. Поштучно. Бери крупнее - 97к в запретинфо, и всё по макам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 2 ноября, 2017 (изменено) · Жалоба Откровенно говоря мне не понятно ваше глумление , я прекрасно понимаю что такое полная фильтрация 5гб потока через 6000 правил, это смерть почти для любой железки , я уже пытался обьяснить как оно будет работать , но не был услышан . Собственно повторять не буду , кто не хочет видеть тот не увидит как не распинайся ... Планируется до 5гб потока на две железки CCR1016 . ... Но собственно зачем я об этом , вы ведь привыкли шаблонами мыслить , нет смысла вам что то рассказывать .... Скорость обработки поднял , стало приемлимо. Но удаляет правила все равно как то не быстро, добавляет почти мгновенно ..... Скрипт почти закончил , еще не много причесать и можно пробовать в нагрузке... Изменено 2 ноября, 2017 пользователем Tygra Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 2 ноября, 2017 · Жалоба Навряд ли можно получить на таком подходе что-то путное. Если сильно надо - храните текущие ACL на сервере, делайте diff с новыми и применяйте на Микротик только то, что изменилось. Чтобы упростить учёт перенумерации, делайте с конца. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 2 ноября, 2017 · Жалоба 26 минут назад, alibek сказал: Навряд ли можно получить на таком подходе что-то путное. Если сильно надо - храните текущие ACL на сервере, делайте diff с новыми и применяйте на Микротик только то, что изменилось. Чтобы упростить учёт перенумерации, делайте с конца. Та да, так и делается , я про случай уже с избранными правилами говорю . Но удаление по номеру правила пока не думал как просчитать ... Эмм с конца , в смысле выбрать правила под удаление, сделать список по номеру правила, отсортировать от обратного и удалять с наибольшего номера ? Тоже интересно , надо попробовать , спасибо .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 ноября, 2017 · Жалоба 1 час назад, YuryD сказал: Бери крупнее - 97к в запретинфо, и всё по макам. заблокировать default gw... Пожалуй, это выход))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 3 ноября, 2017 · Жалоба myth Попрошу вас не флудить в чужой теме и не заниматься троллингом , займитесь чем нибудь более полезным для сообщества . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...