[ioma]

с недавнего времени замечаю такую картину, что служба днс на микротике 2011ls начинает грузить процессор и откуда то берется исходящий не понятный трафик, около 2 мбит (но только на одном интерфейсе). Загрузка ЦП сначало 40-50%, потом со временем доходит до 100%. если снять галочку Allow Remote Request то все приходит в норму.

В чем может быть проблема. Прошивка 5.25

Изменено 2 июля, 2013 пользователем ioma

[SSD]

с недавнего времени замечаю такую картину, что служба днс на микротике 2011ls начинает грузить процессор и откуда то берется исходящий не понятный трафик, около 2 мбит (но только на одном интерфейсе). Загрузка ЦП сначало 40-50%, потом со временем доходит до 100%. если снять галочку Allow Remote Request то все приходит в норму.

В чем может быть проблема. Прошивка 5.25

Меняйте софт.

[ioma]

прошил в 6.1, тоже самое. только нагрузка увеличилась до 3 мбит исходящий.

Изменено 2 июля, 2013 пользователем ioma

[SSD]

прошил в 6.1, тоже самое. только нагрузка увеличилась до 3 мбит исходящий.

У вас реальный ip на микротике?

[ioma]

да, белый, от мегафона.

Изменено 2 июля, 2013 пользователем ioma

[SSD]

да, белый, от мегафона.

Тогда все верно, ваш DNS кто то активно юзает, отсюда и загрузка. Когда убираете галочку закрываете доступ.

[B_TpaHce]

закройте на внешке 53 порт фаерволлом

[ioma]

я перепробывал несколько разных днс серверов, на всех одна и таже проблема. получается что этот днс юзает кто-то из интернета) из моей сети нагрузки практически нет, что видно на скрине в сообщении №3. в сетку смотрит езернет №2. по влан приходит инет

Изменено 2 июля, 2013 пользователем ioma

[SSD]

я перепробывал несколько разных днс серверов, на всех одна и таже проблема. получается что этот днс юзает кто-то из интернета) из моей сети нагрузки практически нет, что видно на скрине в сообщении №3.

DNS сервера на это никак не влияют.

[ioma]

закройте на внешке 53 порт фаерволлом

 

у меня после этого инет работать не перестанет?

[B_TpaHce]

ioma нет

Изменено 2 июля, 2013 пользователем B_TpaHce

[ioma]

тогда прошу подсказать как это сделать;)

[B_TpaHce]

ioma можно по-разному, например вот так

ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop

в dst-address ваш реальный ip

или так

ip firewall filter add chain=input in-interface=vlan1 protocol=udp dst-port=53 action=drop

в in-interface ваш интерфейс интернета

Изменено 2 июля, 2013 пользователем B_TpaHce

[ioma]

спасибо! Будем разбираться!)

[server801]

ioma Ну как получилось решить проблему ? У меня аналогичная проблема . Самое интересное что трафик не постоянен .

[Constantin]

как вариант:

 

http://xgu.ru/wiki/DNS-tunneling

[ioma]

ioma Ну как получилось решить проблему ? У меня аналогичная проблема . Самое интересное что трафик не постоянен .

 

да, все нормалек.

[tartila]

как вариант:

 

http://xgu.ru/wiki/DNS-tunneling

 

Тогда бы этот трафик был бы и в ЛВС, а ТС говорит, что только наружка. Скорее всего кто-то юзает DNS, причем, как я понял - это повальное явление теперь.

[B_TpaHce]

http://www.securelist.com/ru/blog/207768876/DDoS_vesna_v_Runete

[alex_6]

Точно такая же беда....Уже не знаю как бороться, щас прописал в фаерволе как сказали выше, вроде загрузка упала...Посмотрим. Железка 2011UAS-2HnD.

[alex_6]

После добавления правила в фаерволе блокировки порта, у некоторых машин стал отваливаться инет...Точно такой же результат был при снятии галки "allow remote requests". Может кто то знает какие еще варианты есть решения проблемы?

[Saab95]

После добавления правила в фаерволе блокировки порта, у некоторых машин стал отваливаться инет...Точно такой же результат был при снятии галки "allow remote requests". Может кто то знает какие еще варианты есть решения проблемы?

 

Можно раздать клиентам в качестве днс 8.8.8.8, тогда свой можно полностью убрать.

[B_TpaHce]

яндекс поближе будет гугла

http://dns.yandex.ru/

[ioma]

После добавления правила в фаерволе блокировки порта, у некоторых машин стал отваливаться инет...Точно такой же результат был при снятии галки "allow remote requests". Может кто то знает какие еще варианты есть решения проблемы?

 

Можно раздать клиентам в качестве днс 8.8.8.8, тогда свой можно полностью убрать.

 

если у всех юзеров вручную прописан мой днс, как их заставить пользоваться, например, днс яндекса?

[NewUse]

как их заставить пользоваться, например, днс яндекса?

Во первых Вам достаточно закрыть днс извне, во-вторых, можно сделать постое перенаправление фаерволом, в-третьих, можно предложить юзверам прописать вручную днс яндекса, раз один раз они вручную уже прописывали, в-четвёртых отказаться нафиг от статики и предложить всем юзать ДХЦП.