Gamabunta Posted August 23, 2013 Posted August 23, 2013 После перехода с 5й версии на 6ю перестали работать правила ограничивающие ппс на адрес-листы, с ограничением количества соединений всё нормально, а с ппс сколько не борюсь - всё бес толку, помогите советом или кодом Вставить ник Quote
Ivan_83 Posted August 23, 2013 Posted August 23, 2013 redirect: support.mikrotik.com Вставить ник Quote
Gamabunta Posted August 23, 2013 Author Posted August 23, 2013 (edited) Ivan_83 спс кэп, очень смешно Edited August 23, 2013 by Gamabunta Вставить ник Quote
Ivan_83 Posted August 23, 2013 Posted August 23, 2013 Ладно, мы щас допьём чай, раздербаним прошивку в дебагере, быстренько погоняем в эмуляторе, пропатчим бинарники и скинем тебе :) Вставить ник Quote
Saab95 Posted August 23, 2013 Posted August 23, 2013 Ну так надо копать в верном направлении, там всего 2 правила - одно все запрещает, а второе разрешает определенное количество пакетов в секунду, если ограничение не срабатывает, значит не работает запрещающее правило. Вставить ник Quote
Gamabunta Posted August 24, 2013 Author Posted August 24, 2013 Saab95 Вы правы, не работало запрещающее правило, порылся в нём, и вуаля) Вставить ник Quote
Ilya Evseev Posted August 24, 2013 Posted August 24, 2013 Вы правы, не работало запрещающее правило, порылся в нём, и вуаля) Вы бы поделились с общественностью, как оно выглядело под ROS 5.x, и как его потребовалось исправить, чтобы оно заработало в 6.x? Вставить ник Quote
2100apBB Posted September 2, 2013 Posted September 2, 2013 Оч интересно как реализовали? Вставить ник Quote
Gamabunta Posted September 4, 2013 Author Posted September 4, 2013 Выглядит примерно так: add action=add-dst-to-address-list address-list=адрес_лист \ address-list-timeout=0s chain=forward comment="" disabled=no \ dst-address-list="адрес_лист" protocol=udp add action=accept chain=forward comment="" disabled=no dst-address-list=\ адрес_лист dst-limit=xxx,xxx,dst-address/1m40s add action=reject chain=forward comment="" disabled=no dst-address-list=\ адрес_лист reject-with=icmp-admin-prohibited И вроде как даже работает, но не совсем так как надо. Если отключить разрешающее правило, то пакеты продолжают ходить, но падают до ничтожных значений ~20-40pps, если включить, то блокируется не до конкретной цифры, а около неё. Вообщем нужно блокировать пакеты и туда и обратно, а правило блокирует только обратно. Поэтому создал ещё одно такое же правило, но в нём изменил направление траффика на output и сменил действие с дроп на ассепт. Если кто поможет разобратся, или напишет "нормальное" правило на ограничение ппс в обе стороны - буду очень признателен (возможно отблагодарю материально) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.