iraklizh Posted June 5, 2019 Posted June 5, 2019 (edited) Добрый день. Второй день наблюдаю кратковременную проблемму следующего характера... у меня для группы пользователей ограничение в 35M в simple queue через isp1. замечаю что на интерфейсе начинается возрастать скорость типа 72M, 80M и потом падает на 0 т.е. дропается...смотрю траффик в simple queue-там скорость не увеличивается, может это из за правил в firewall .... пробовал отфильтровать того кто генерит такой траффик но тоже безрезультатно... читал разную инфу, и в топике писал McDee, но вот не подобрал пока такой набор правил, чтоб юзерам было комфортно работать... работаю с микротиком удаленно через винбох (порт сменен) # jun/05/2019 10:18:35 by RouterOS 6.43.2 # software id = # # model = 2011UiAS # serial number = /ip firewall layer7-protocol add name=HTTP regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9]|post [\\x09-\\x\ 0d -~]* http/[01]\\.[019]" add name=GIF_FILE regexp=gif add name=PNG_FILE regexp=png add name=JPG_FILE regexp=jpg /ip firewall address-list add address=172.16.0.50-172.16.15.252 list="torrent limit" add address=92.51.126.216/30 list=LAN-EXCEPTION /ip firewall filter add action=accept chain=input connection-state=established add action=accept chain=forward dst-address=172.16.0.1-172.16.15.254 \ protocol=udp add action=accept chain=input comment="acces input udp" protocol=udp add action=accept chain=forward comment="Forward Established Connections" \ connection-state=established add action=accept chain=forward comment="Forward Related Connections" \ connection-state=related add action=accept chain=input comment="GRE VPN to Mikrotik" protocol=gre add action=accept chain=input connection-state=related add action=accept chain=input comment="access input icmp allow ping" \ protocol=icmp add action=accept chain=forward comment="acces forward icmp Allow Ping" \ protocol=icmp add action=drop chain=input comment="Drop invalid Connections" \ connection-state=invalid disabled=yes add action=drop chain=forward comment="Drop Invalid forward Connections" \ connection-state=invalid disabled=yes add action=drop chain=forward disabled=yes in-interface=LAN src-mac-address=\ 04:95:E6:64:DC:C0 add action=drop chain=forward disabled=yes in-interface=LAN src-mac-address=\ 04:95:E6:64:DD:00 /ip firewall nat add action=netmap chain=dstnat dst-port=3389 in-interface=ISP1 protocol=tcp \ to-addresses=172.16.15.254 to-ports=3389 add action=netmap chain=dstnat dst-port=3389 in-interface=ISP1 protocol=udp \ to-addresses=172.16.15.254 to-ports=3389 add action=netmap chain=dstnat dst-port=8291 in-interface=ISP1 protocol=tcp \ to-addresses=172.16.15.180 to-ports=8291 add action=netmap chain=dstnat comment="cameras vaxtang gelxauri" dst-port=\ 8888 in-interface=ISP1 protocol=tcp to-addresses=172.16.15.31 to-ports=\ 8888 add action=netmap chain=dstnat dst-port=8293 in-interface=ISP2 protocol=tcp \ to-addresses=172.16.0.1 to-ports=8293 add action=masquerade chain=srcnat out-interface=ISP1 add action=masquerade chain=srcnat out-interface=ISP2 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set pptp disabled=yes Edited June 5, 2019 by iraklizh Вставить ник Quote
maxkst Posted June 7, 2019 Posted June 7, 2019 (edited) Simple queue ловит трафик по IP и игнорит всякие бродкасты и прочие арпы. Вам надо сначала понять, что это за трафик. Torch на интерфейсе вам в помощь. Edited June 7, 2019 by maxkst Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.