NIKOLYA
может тут ключевое "в случае упавшего коннекта " ?)) человек не хочет пинговать всегда гуглояндекс)
Sergey
Можно как-то в ospf в роут фильтре запретить отдавать не определенный маршрут, а вообще все что связано например с 10.0.0.0/8???
Moneron 🇷🇺
Можно как-то в ospf в роут фильтре запретить отдавать не определенный маршрут, а вообще все что связано например с 10.0.0.0/8???
Можно. В префиксе указываете 10.0.0.0/8 и prefix length 8-32
Sergey
Можно. В префиксе указываете 10.0.0.0/8 и prefix length 8-32
Вкурил... По такой схеме, получается, можно любой диапазаон выбирать.
Moneron 🇷🇺
Да :)
no_name
Братаны стучатся)
no_name
no_name
угу в raw
no_name
сейчас все будет
NIKOLYA
а можно подробнее?
NIKOLYA
я рав в упор раньше не видел ))
NIKOLYA
у меня сейчас класически в эреслист падают стучальщики брутовые
no_name
raw - обработка до фаервола
Евгений
имеется в виду ddos dns
NIKOLYA
были критичские дни у них похоже ... за день около 500 адресов заблочил
no_name
я так понял ты только вкладку обнаружил?
NIKOLYA
а есть схема реализации?
NIKOLYA
да))
Евгений
https://habrahabr.ru/post/174483/
NIKOLYA
я с микротиками только в частном порядке работаю
Евгений
Не обязательно в RAW, можно и input, ps у меня есть еще 6.33
no_name
NIKOLYA
понял, спасибо!
no_name
no_name
input уже чуть дальше чем prerouting
no_name
угу, обновись)
Евгений
нафик
Евгений
NIKOLYA
😂
NIKOLYA
как у нас говорят, работает - не троЖ
no_name
Ы
no_name
Да его вообще опасно ребутать)
NIKOLYA
а с 1723 будет же эта схема работать?
NIKOLYA
пптп
NIKOLYA
ухтыкакжеэто
no_name
Сломал?
NIKOLYA
а я думаю чего у меня микрот то почти под полку загружен))
action=drop chain=prerouting dst-port=53 protocol=udp
нагрузка упала до 10%
no_name
NIKOLYA
можно я материться не буду?)
NIKOLYA
спасибо огромное ... вы бесценны ребят
no_name
ну теперь везде раскати)
NIKOLYA
а как кто изолирует клиентов внутри сети?
IGROK
NIKOLYA
самое простое что пришло на ум ... это в бридж фильтр сделать правило ... дропать форвард ин бридж и аут бридж
Евгений
NIKOLYA
если вайфай сеть?
Евгений
Аа
Евгений
Интерфейс
Евгений
Если статика, то дст ип
no_name
у тебя внутри dns?
no_name
add action=drop chain=prerouting dst-address=publik_ip dst-port=53 \
protocol=udp
Евгений
add action=drop chain=prerouting dst-address=publik_ip dst-port=53 \
protocol=udp
Или ин интерфейс, если не статика
Дмитрий
Мм не пойму зачем дропать 53й он разве доступен из вне ?
Дмитрий
А понял, в раве дополнительно что бы не загружал файрвол
Дмитрий
no_name
NIKOLYA
ну да, собственно логично
NIKOLYA
с указанием дст адреса работает норм
NIKOLYA
нагрузка со 100% упала на 15-20
no_name
твои dns заробили?
NIKOLYA
да, все работает
no_name
полезная плюшка?
Moneron 🇷🇺
raw хорошая плюшка :)
NIKOLYA
ппц ... только отключил правило .... по дст 53му порту конектов навалилось уже на 2000
Moneron 🇷🇺
NIKOLYA
2300
Дмитрий
что что ты сделал?
Добавил запрет в raw как в примере выше, сначала просто указал внешний IP как DNS
no_name
а ты их tarpit, tarpit)))
NIKOLYA
3500
NIKOLYA
жесть
Moneron 🇷🇺
Moneron 🇷🇺
Рав до коннтрека отрабатывает. Поэтому для процессора он сильно дешевле