ioma Опубликовано 2 июля, 2013 (изменено) с недавнего времени замечаю такую картину, что служба днс на микротике 2011ls начинает грузить процессор и откуда то берется исходящий не понятный трафик, около 2 мбит (но только на одном интерфейсе). Загрузка ЦП сначало 40-50%, потом со временем доходит до 100%. если снять галочку Allow Remote Request то все приходит в норму. В чем может быть проблема. Прошивка 5.25 Изменено 2 июля, 2013 пользователем ioma Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 2 июля, 2013 с недавнего времени замечаю такую картину, что служба днс на микротике 2011ls начинает грузить процессор и откуда то берется исходящий не понятный трафик, около 2 мбит (но только на одном интерфейсе). Загрузка ЦП сначало 40-50%, потом со временем доходит до 100%. если снять галочку Allow Remote Request то все приходит в норму. В чем может быть проблема. Прошивка 5.25 Меняйте софт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioma Опубликовано 2 июля, 2013 (изменено) прошил в 6.1, тоже самое. только нагрузка увеличилась до 3 мбит исходящий. Изменено 2 июля, 2013 пользователем ioma Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 2 июля, 2013 прошил в 6.1, тоже самое. только нагрузка увеличилась до 3 мбит исходящий. У вас реальный ip на микротике? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioma Опубликовано 2 июля, 2013 (изменено) да, белый, от мегафона. Изменено 2 июля, 2013 пользователем ioma Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 2 июля, 2013 да, белый, от мегафона. Тогда все верно, ваш DNS кто то активно юзает, отсюда и загрузка. Когда убираете галочку закрываете доступ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_TpaHce Опубликовано 2 июля, 2013 закройте на внешке 53 порт фаерволлом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioma Опубликовано 2 июля, 2013 (изменено) я перепробывал несколько разных днс серверов, на всех одна и таже проблема. получается что этот днс юзает кто-то из интернета) из моей сети нагрузки практически нет, что видно на скрине в сообщении №3. в сетку смотрит езернет №2. по влан приходит инет Изменено 2 июля, 2013 пользователем ioma Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 2 июля, 2013 я перепробывал несколько разных днс серверов, на всех одна и таже проблема. получается что этот днс юзает кто-то из интернета) из моей сети нагрузки практически нет, что видно на скрине в сообщении №3. DNS сервера на это никак не влияют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioma Опубликовано 2 июля, 2013 закройте на внешке 53 порт фаерволлом у меня после этого инет работать не перестанет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_TpaHce Опубликовано 2 июля, 2013 (изменено) ioma нет Изменено 2 июля, 2013 пользователем B_TpaHce Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioma Опубликовано 2 июля, 2013 тогда прошу подсказать как это сделать;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_TpaHce Опубликовано 2 июля, 2013 (изменено) ioma можно по-разному, например вот так ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop в dst-address ваш реальный ip или так ip firewall filter add chain=input in-interface=vlan1 protocol=udp dst-port=53 action=drop в in-interface ваш интерфейс интернета Изменено 2 июля, 2013 пользователем B_TpaHce Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioma Опубликовано 2 июля, 2013 спасибо! Будем разбираться!) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
server801 Опубликовано 2 июля, 2013 ioma Ну как получилось решить проблему ? У меня аналогичная проблема . Самое интересное что трафик не постоянен . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 2 июля, 2013 как вариант: http://xgu.ru/wiki/DNS-tunneling Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioma Опубликовано 2 июля, 2013 ioma Ну как получилось решить проблему ? У меня аналогичная проблема . Самое интересное что трафик не постоянен . да, все нормалек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 3 июля, 2013 как вариант: http://xgu.ru/wiki/DNS-tunneling Тогда бы этот трафик был бы и в ЛВС, а ТС говорит, что только наружка. Скорее всего кто-то юзает DNS, причем, как я понял - это повальное явление теперь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_TpaHce Опубликовано 3 июля, 2013 http://www.securelist.com/ru/blog/207768876/DDoS_vesna_v_Runete Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_6 Опубликовано 3 июля, 2013 Точно такая же беда....Уже не знаю как бороться, щас прописал в фаерволе как сказали выше, вроде загрузка упала...Посмотрим. Железка 2011UAS-2HnD. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_6 Опубликовано 3 июля, 2013 После добавления правила в фаерволе блокировки порта, у некоторых машин стал отваливаться инет...Точно такой же результат был при снятии галки "allow remote requests". Может кто то знает какие еще варианты есть решения проблемы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 июля, 2013 После добавления правила в фаерволе блокировки порта, у некоторых машин стал отваливаться инет...Точно такой же результат был при снятии галки "allow remote requests". Может кто то знает какие еще варианты есть решения проблемы? Можно раздать клиентам в качестве днс 8.8.8.8, тогда свой можно полностью убрать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_TpaHce Опубликовано 4 июля, 2013 яндекс поближе будет гугла http://dns.yandex.ru/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioma Опубликовано 5 июля, 2013 После добавления правила в фаерволе блокировки порта, у некоторых машин стал отваливаться инет...Точно такой же результат был при снятии галки "allow remote requests". Может кто то знает какие еще варианты есть решения проблемы? Можно раздать клиентам в качестве днс 8.8.8.8, тогда свой можно полностью убрать. если у всех юзеров вручную прописан мой днс, как их заставить пользоваться, например, днс яндекса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 5 июля, 2013 как их заставить пользоваться, например, днс яндекса? Во первых Вам достаточно закрыть днс извне, во-вторых, можно сделать постое перенаправление фаерволом, в-третьих, можно предложить юзверам прописать вручную днс яндекса, раз один раз они вручную уже прописывали, в-четвёртых отказаться нафиг от статики и предложить всем юзать ДХЦП. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...