alibek Опубликовано 7 февраля, 2019 · Жалоба Задаю правило: add action=drop chain=output protocol=icmp dst-limit=10,5,dst-address,5m Вроде бы это правило должно блокировать исходящий icmp, если его количество превышает 10 пакетов в секунду. Выполняю ping, роутер должен высылать ответные ping-reply. Однако ответы не приходят, они дропаются сразу, и счетчики на правиле также начинают увеличиваться сразу. Почему такое происходит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 февраля, 2019 · Жалоба Потому что надо этому правилу дать не drop, а access, а за ним уже сделать общее правило на дроп этих пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 7 февраля, 2019 · Жалоба А почему оно вообще срабатывает, если лимит не достигнут? Или оно срабатывает, пока лимит не достигнут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 7 февраля, 2019 · Жалоба 53 minutes ago, alibek said: Или оно срабатывает, пока лимит не достигнут? https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter dst-limit (integer[/time],integer,dst-address | dst-port | src-address[/time]; Default: ) Matches packets until a given rate is exceeded. Rate is defined as packets per time interval. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...