Вопрос если залить бекап с микротика rb1200 на rb3011uias-rm оно стартанет?? Или шансов нет?

Вопрос если залить бекап с микротика rb1200 на rb3011uias-rm оно стартанет?? Или шансов нет?

Интерфейсы точно перепутает

Интерфейсы точно перепутает

Но никто таким не извращались?

Извращались. Пришли к Ansible и больше не онанируем прилюдно :)

Или может кто знает как распаковать бекап в конфигурации текстом?

Можно влить в chr, потом сделать export и перенести конфиг

Вопрос снят оно отработало

И не законфликтовало?

Учтите, что backup переносит в том числе мак-адреса

И не законфликтовало?

Ну он напутал только с именами портов но все встало нормально и вланы и хотспот и пппое

помогайте, есть РБ2011, веб сервер в локальной сети, прилетело на веб сервер 5к пакетов и 5к назад, проц на 2011 в 100%, началась деградация сети, как лечить?

фильтр не спасал, пришлось в raw дропать

в extra есть limit и dst limit как использовать?

или како-то можно отследить 100% загрузку ЦП и включить правило в фаерволе?

Ребята,всем привет. Сегодня провели на дачу интернет оптоволокно gpon. Поставили свой роутер dasan. У него есть выход под кабельное телевидение 4 rj45. И 2 под телефон. Подскажите, как мне этот роутер заменить на mikrotik с сохранением кабельного телевидения?

никак не заменить

помогайте, есть РБ2011, веб сервер в локальной сети, прилетело на веб сервер 5к пакетов и 5к назад, проц на 2011 в 100%, началась деградация сети, как лечить?

если в качестве сервера nginx то можно "брить" атакующих силами самого nginx (rate limit) либо fail2ban и выдергивать айпи атакующих и добавлять их через скрипт в микрот в raw

если в качестве сервера nginx то можно "брить" атакующих силами самого nginx (rate limit) либо fail2ban и выдергивать айпи атакующих и добавлять их через скрипт в микрот в raw

не, проблема не в сервере, веб сервер отрабатывает, а роутер от такого количества пакетов начинает виснуть

ловить айпи атакующих через fail2ban, добавлять их скриптом в access list, дропать в raw нужный access list

а как мне поймать адрес атакующего? вдруг это адрес обычного пользователя, его нужно пустить

это атака была

по колличеству соединений помоему в fail2ban ловить можно

распределенная, толком ничего не увидеть, счетчики пакетов на интерфейсе 0, все в 0, ЦП 100%, только в торче увидел 5к пакетов на веб сервер

но имхо проще через rate limit на nginx отлавливать и в зону с ограничением по коннектам отправлять

Трест. Мне за роутером dasan во внутреннюю сеть поставить микротик и за микротиком сделать сеть? А на dasan пробросить порты в сторону микротика

никак не заменить

а на микротике никак? там тоже вроде есть limit

в extra

не желательно чтоб трафик дошел до вебсервера

а на микротике никак? там тоже вроде есть limit

там общий лимит на соединения до web сервера

легитимных юзеров запорет

ок, пускай общий лимит, когда будет атака, пусть блокирует всех, как атака закончится начнет пускать, мне важно не допустить деградации трафика на микротике

вся локалка перестает работать, интернет и телефония

пропбуй еще вот такой метод

https://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking

Трест. Мне за роутером dasan во внутреннюю сеть поставить микротик и за микротиком сделать сеть? А на dasan пробросить порты в сторону микротика

да, можно так

да, можно так

/ок. Спасибо . Буду делать этот вариант. Но думал есть проще. Чтобы без 2 роутеров. Какой-нибудь конвертер на витую пару

/ок. Спасибо . Буду делать этот вариант. Но думал есть проще. Чтобы без 2 роутеров. Какой-нибудь конвертер на витую пару

а микротик какой?

А вчем разница между bridge vlan и воткнуть сабинтерфейс vlan в мост , на crs это понятно зачем,но какие преимущества я получу на 750gr3 и на 951?

помогайте, есть РБ2011, веб сервер в локальной сети, прилетело на веб сервер 5к пакетов и 5к назад, проц на 2011 в 100%, началась деградация сети, как лечить?

Fasttrack на established,related по направлению WAN —> LAN есть?

Может помочь если это не SYN-flood

А так да, nginx rate_limit zones + fail2ban + script для добавления засранцев в RAW на МТ

А так да, nginx rate_limit zones + fail2ban + script для добавления засранцев в RAW на МТ

Fasttrack нету

Fasttrack нету

Ну, он может помочь снять нагрузку с CPU роутера. Но если используете PBR при помощи mangle - сделать такое будет сложно

да есть PBR, 3 провайдера

а с extra limit ничего нельзя придумать?

Заббикс устраивает своими возможностями. В мониторинге много всякого добра помимо микротов.

какой там 1072, тут 2011 и то с трудом :)

Решений - вагон. Есть из чего выбрать исходя из бюджета и других ресурсов.

поэтому и не советовал модуль :)

Господин Жаров. У вас какая цель? ))

Отлично.

Зачем вы мне рассказываете о трудностях блокировки ботнетов?

а с extra limit ничего нельзя придумать?

Можно, но с большой долей вероятности это не снизит нагрузку на CPU роутера

И да, я согласен. В ряде ситуаций предложенные мной меры - бесполезны. А в ряде ситуаций - их хватит.

ИМХО Вам будет проще отбиваться средствами nginx + f2b + script for RAW Ban. А на самом МТ в FW на 80,443 сделать notrack

?? Я не втираю, а предлагаю попробовать. Разницу понимаете?

ERROR: S client not available

Raw нормально должен прожевать DDoS в полосу канала при notrack на атакуемых портах

Аналогия это прекрасная штука, но не является доказательством правоты )

Ещё раз обращаю ваше внимание - решений большое колличество. И предложенный мной вариант - оч простой и не требует доп затраты. Да, большой ботнет не отбить и потребуются другие меры.

Ещё раз обращаю ваше внимание - решений большое колличество. И предложенный мной вариант - оч простой и не требует доп затраты. Да, большой ботнет не отбить и потребуются другие меры.

Для большого ботнета хорошо помогает генератор абуз)

Но есть риск быть забаненным за спам)

Ещё раз обращаю ваше внимание - решений большое колличество. И предложенный мной вариант - оч простой и не требует доп затраты. Да, большой ботнет не отбить и потребуются другие меры.

О каком ддосе идёт речь?

Выше надо полистать

О каком ддосе идёт речь?

Sergey R.: помогайте, есть РБ2011, веб сервер в локальной сети, прилетело на веб сервер 5к пакетов и 5к назад, проц на 2011 в 100%, началась деградация сети, как лечить?

Ддосят nginx за rb2011

На нем ещё PBR без fasttrack’а

Не 2011 невариант

Буквально в том месяце 2гб syn флуда отбивал

когда все ровно, загрузка проца ~25%

когда все ровно, загрузка проца ~25%

Ну, это из-за PBR

И все-же я-бы попробовал RAW + nginx + f2b

когда все ровно, загрузка проца ~25%

А размер пакетов какой?

не знаю, в момент атаки, счетчики на интерфесках были 0, инет отвалился, в ресах увидил загрузку 100%, посмотрел профайл там фаервол и нетворк, в торче на лдокальнои интерфейсе 5к пакетов/сек, дропнул в raw tcp dst-port 80

через 5 мин атака прекратилась, да, ip были разные, ботнет работал

не знаю, в момент атаки, счетчики на интерфесках были 0, инет отвалился, в ресах увидил загрузку 100%, посмотрел профайл там фаервол и нетворк, в торче на лдокальнои интерфейсе 5к пакетов/сек, дропнул в raw tcp dst-port 80

Если Рав справился, то ваш вариант это haproxy и боленсер

Если Микротик не справился то haproxy ставить перед микротиком

И делать асинхронный syn и syn,ack

мне бы средствами микротика ограничить кол-во пакетов на веб сервер

даже если веб сервер не будет доспупен, это не критично, нужно чтоб инет не отваливался и не деградировал трафик

т.к. еще куча туннелей к филиалам, телефония и т.д.

Так не делается

Если Микротик не справился то haproxy ставить перед микротиком

Тогда уж проще transparent FW перед МТ ?