Перейти к содержимому
Калькуляторы

dns грузит процессор

Ответить

ioma   

ioma
Опубликовано · Жалоба

ioma можно по-разному, например вот так

ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop

в dst-address ваш реальный ip

 

 

если закрыть днс извне таким способом, у некоторых юзеров пропадает инет) может есть еще какой то способ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Yaten   

Yaten
Опубликовано · Жалоба

примерно в конце июня была такая же фигня. Только трафика я поимел 50Мбит и загрузку 100%

Прибил фаерволом 53 порт, загрузка упала до 40-50%, через сутки трафик кончился.

После этого, на всех машинах с МТ прибил 53 порт снаружи.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

ioma   

ioma
Опубликовано · Жалоба

примерно в конце июня была такая же фигня. Только трафика я поимел 50Мбит и загрузку 100%

Прибил фаерволом 53 порт, загрузка упала до 40-50%, через сутки трафик кончился.

После этого, на всех машинах с МТ прибил 53 порт снаружи.

 

ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop

такой командой?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

rmika   

rmika
Опубликовано · Жалоба

я бы так попробовал

/ip firewall filter

add chain=input connection-state=established

add chain=input connection-state=related

add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop

 

Но на самом деле лучше дропать всё, и добавить разрешающие правила для тех кому нужен доступ из мира.

 

или же разрешить только icmp из мира и юзать "port knocking over ICMP" http://habrahabr.ru/post/186488/

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

rmika   

rmika
Опубликовано · Жалоба

из мира доступ ни кому не нужен - я для себя делаю днс.

Если интернет получаешь с интерфейса vlan1 то это точно поможет, причем не только от атак на dns-сервер.

/ip firewall filter

add chain=input connection-state=established

add chain=input connection-state=related

add chain=input in-interface=vlan1 action=drop

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Yaten   

Yaten
Опубликовано · Жалоба
Если интернет получаешь с интерфейса vlan1 то это точно поможет, причем не только от атак на dns-сервер.

/ip firewall filter

add chain=input connection-state=established

add chain=input connection-state=related

add chain=input in-interface=vlan1 action=drop

 

Только не забудь себе доступ оставить

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

DarkMeTaL   

DarkMeTaL
Опубликовано · Жалоба

ioma можно по-разному, например вот так

ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop

в dst-address ваш реальный ip

 

 

если закрыть днс извне таким способом, у некоторых юзеров пропадает инет) может есть еще какой то способ?

 

таким способом Микротик будет блокировать и ответы на свои запросы, я вышел из ситуации таким методом:

 

ip firewall filter add chain=input action=drop protocol=udp src-address-list=!DNS in-interface=ether1 dst-port=53

 

а в адрес-лист DNS добавил адреса используемых DNS-серверов

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Mikrotik Wireless