Jump to content
Калькуляторы

Странно работает (не работает) dst-limit

Задаю правило:

add action=drop chain=output protocol=icmp dst-limit=10,5,dst-address,5m

Вроде бы это правило должно блокировать исходящий icmp, если его количество превышает 10 пакетов в секунду.

Выполняю ping, роутер должен высылать ответные ping-reply.

Однако ответы не приходят, они дропаются сразу, и счетчики на правиле также начинают увеличиваться сразу.

Почему такое происходит?

Share this post


Link to post
Share on other sites

Потому что надо этому правилу дать не drop, а access, а за ним уже сделать общее правило на дроп этих пакетов.

Share this post


Link to post
Share on other sites

А почему оно вообще срабатывает, если лимит не достигнут?

Или оно срабатывает, пока лимит не достигнут?

Share this post


Link to post
Share on other sites
53 minutes ago, alibek said:

Или оно срабатывает, пока лимит не достигнут?

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

 

dst-limit (integer[/time],integer,dst-address | dst-port | src-address[/time]; Default: )

Matches packets until a given rate is exceeded. Rate is defined as packets per time interval. 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this