Перейти к содержимому
Калькуляторы

Странно работает (не работает) dst-limit

Задаю правило:

add action=drop chain=output protocol=icmp dst-limit=10,5,dst-address,5m

Вроде бы это правило должно блокировать исходящий icmp, если его количество превышает 10 пакетов в секунду.

Выполняю ping, роутер должен высылать ответные ping-reply.

Однако ответы не приходят, они дропаются сразу, и счетчики на правиле также начинают увеличиваться сразу.

Почему такое происходит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потому что надо этому правилу дать не drop, а access, а за ним уже сделать общее правило на дроп этих пакетов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему оно вообще срабатывает, если лимит не достигнут?

Или оно срабатывает, пока лимит не достигнут?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
53 minutes ago, alibek said:

Или оно срабатывает, пока лимит не достигнут?

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

 

dst-limit (integer[/time],integer,dst-address | dst-port | src-address[/time]; Default: )

Matches packets until a given rate is exceeded. Rate is defined as packets per time interval. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас