sevan Опубликовано 6 августа, 2013 (изменено) · Жалоба Снова я с mikrotikom. В общем вопрос в чем может быть проблема? Откуда левый трафик в инет??? Изменено 6 августа, 2013 пользователем sevan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AciDSAS Опубликовано 6 августа, 2013 · Жалоба Снова я с mikrotikom. В общем вопрос в чем может быть проблема? Откуда левый трафик в инет??? Скорее всего идут запросы на ваши реальные ip, которые в данный момент offline. свой блок реальников отправьте в blackhole или unreachable. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 6 августа, 2013 · Жалоба Скорее всего идут запросы на ваши реальные ip, которые в данный момент offline. свой блок реальников отправьте в blackhole или unreachable. + Уже проходил через этого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 6 августа, 2013 · Жалоба Уже проходил через этого. подскажите пожалуйста как что-бы не искать. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AciDSAS Опубликовано 6 августа, 2013 · Жалоба Уже проходил через этого. подскажите пожалуйста как что-бы не искать. :) Если для MT, то /ip route add distance=1 dst-address=10.10.10.0/23 type=unreachable 10.10.10.0/23 заменить на свой диапазон. Вместо unreachable можно поставить blackhole. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sevan Опубликовано 7 августа, 2013 · Жалоба Уже проходил через этого. подскажите пожалуйста как что-бы не искать. :) Если для MT, то /ip route add distance=1 dst-address=10.10.10.0/23 type=unreachable 10.10.10.0/23 заменить на свой диапазон. Вместо unreachable можно поставить blackhole. Спасибо за подсказку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 7 августа, 2013 · Жалоба Для блекхол маршрутов дистанция должна быть минимальная например 250. Иначе запись может перебить по весу информацию из роутинговых протоколов. Unreacheable ставить не нужно, это означает что на каждый запрос из интернета будет отсылаться ICMP ответ о недоступности, нужно ставить blackhole. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AciDSAS Опубликовано 7 августа, 2013 · Жалоба Для блекхол маршрутов дистанция должна быть минимальная например 250. Иначе запись может перебить по весу информацию из роутинговых протоколов. Unreacheable ставить не нужно, это означает что на каждый запрос из интернета будет отсылаться ICMP ответ о недоступности, нужно ставить blackhole. Теоретически с дистанцией правильно. Но на практике полезные маршруты имееют меньший размер (вместо /22 роутится с меньшими масками), а меньшая маска имеет приоритет над бОльшей. Проблем с distance меньше 250 не возникало. Иногда полезно отправить icmp dest unreachable, а не молча откинуть пакет. Помогает от прилета еще 30 таких же пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 7 августа, 2013 · Жалоба Если для MT, то /ip route add distance=1 dst-address=10.10.10.0/23 type=unreachable 10.10.10.0/23 заменить на свой диапазон. Вместо unreachable можно поставить blackhole. Вот огромное Вам человеческое СПАСИБО! Я эту проблему решил менее элегантным способом → костыль с выборкой из /ip firewall address-list и правила в /ip firewall filter, но это решение откушивало CPU серьезно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...