в нате дстнат кажется цепочка

Именно

Ребят, не подскажите как пробросить порты на MikroTik hAP AC Lite? Пробовал по этому туториалу, но не помогает: https://habrahabr.ru/post/182166/ Версия Router OS: 6.37

ты то хоть понял суть? =)))

Вроде правило я настроил правильно, поэтому я вот никак не пойму в чём ещё может быть проблема...

в самом начале надо, вроде как, описать на какой адрес приходит пакет (если например 2 провайдера) и порт, на который он приходит

и это ты в нате правило пишешь, а еще в самом файрволе создай правило, разрешающее доступ на порт

Попробую.

Здравствуйте. Микротик режет скорость до 10 мбит. После перезагрузки, опять нормальная скорость 60 мбит. Проходят сутки и снова 10 мбит. Где смотреть и куда копать?

Врядли микротик режет...

Скорее при ребуте происходит дисконект у провайдера

Здравствуйте. Микротик режет скорость до 10 мбит. После перезагрузки, опять нормальная скорость 60 мбит. Проходят сутки и снова 10 мбит. Где смотреть и куда копать?

А в логах нема что-то типа линк ап, линк down? Мож у тебя с кабелями что-то и само auto-mdix падает до 10мбит?

Может как всегда 53/udp открыт снаружи?

И ддосят втихую

Микротик ваще просто задудосить) любой)) если файер не настроен)

Вот

Причина

В последних версия - по-моему 6.38 в настройках DNS сожно неплохо усложнить жизнь ддосерам)

Ищи де плохо обжат кабель.

Или вообще замени на норм медный кабель

Плохо обжат кабель к провайдеру. Это есть такое. Просто он впритык и не трогал его. По приезду переделаю.

Проброс портов на примере RDP c 2-мя провайдерами /ip firewall nat add action=dst-nat chain=dstnat comment="RDP via ISP2" dst-port=3389 in-interface=ISP2 protocol=tcp to-addresses=192.168.x.x to-ports=3389 /ip firewall mangle add action=mark-connection chain=prerouting dst-port=3389 in-interface=ISP2 new-connection-mark=rdp passthrough=yes protocol=tcp add action=mark-routing chain=prerouting comment="RDP via ISP2" connection-mark=rdp new-routing-mark=toISP2 passthrough=no src-address-list=RDP

В последних версия - по-моему 6.38 в настройках DNS сожно неплохо усложнить жизнь ддосерам)

Чево там?

Ищи де плохо обжат кабель.

Обьясни почему тогда он сразу не на 10 работает. А в начале 100 подключает?

Плохо обжат кабель к провайдеру. Это есть такое. Просто он впритык и не трогал его. По приезду переделаю.

99% проблема в твоём случае в кабеле.

Обьясни почему тогда он сразу не на 10 работает. А в начале 100 подключает?

Эм, тяжкий вопрос?

У самого куча девайсов работает. И вначале были пару случаев что прыгал так же . И всё тестером проходил

Но после переобжима, замены кабелей, всё супер

Может мтик очень чувствителен к кабелю. Я хз)))

Ну надож) нолучше всеж из все закрывать)

К тому же тут tcp)

Про сессии да, а параллельные запросы надеюсь и udp касаются. На днях проверю

Ну надож) нолучше всеж из все закрывать)

вот согласен. у меня как раз ситуация щас. Долбят по 53 порту на белый ip. и вроде трафика не оч. много, но CPU микротика веселится

Может мтик очень чувствителен к кабелю. Я хз)))

Спасибо тебе...

вот согласен. у меня как раз ситуация щас. Долбят по 53 порту на белый ip. и вроде трафика не оч. много, но CPU микротика веселится

Закрывай из вне! Правило нумер 0

Спасибо тебе...

Да нема за что :) сам в своё время намучался, никто не мог ответить)

Закрывай из вне! Правило нумер 0

да я уже закрыл пару дней назад. все просто делается. Причем даже тестил, через очередь зажимал скорость этим запросам. Убедился что все-таки лучше закрыть. И что самое главное это делать не в /ip firewall filter

raw?

raw?

ага

Это повально

Правильно

вот согласен. у меня как раз ситуация щас. Долбят по 53 порту на белый ip. и вроде трафика не оч. много, но CPU микротика веселится

Я видал раз ещё на старом rb751u-2hnd у человека как 40 Мбит dns шуровало наружу потому-что порт не прикрыли(

Я видал раз ещё на старом rb751u-2hnd у человека как 40 Мбит dns шуровало наружу потому-что порт не прикрыли(

не хило однако.

CPU держался бодрячком, порядка 60-70%

Задам вопрос не гугля, а есть воможность поднять 2 сессии с провайдером и отдать их в разные порты? На одном устройстве

Задам вопрос не гугля, а есть воможность поднять 2 сессии с провайдером и отдать их в разные порты? На одном устройстве

Чево?

Эм

У меня CPU был 40-50%. Щас 2-4% без нагрузки

Задам вопрос не гугля, а есть воможность поднять 2 сессии с провайдером и отдать их в разные порты? На одном устройстве

на одном проводе или на несколько?

На одном

Тогда что значат "сессии"?

VLANы, PPTP, PPPOE, IPOE?

гипотетически можно. Только если провайдер отдаст транком 2-мя вланами. Вот только если провод выдернут - обе сессии упадут. да и ограничение по трафику будет в зависимости от порта

гипотетически можно. Только если провайдер отдаст транком 2-мя вланами. Вот только если провод выдернут - обе сессии упадут. да и ограничение по трафику будет в зависимости от порта

Спасибо, понял

На поляне казино епта

Вопрос ну нахуяяяяя ?)

ERROR: S client not available

Вопрос не к тому просто человек сам себе жизнь усложняет а потом мучается с этим...

это вообще к чему?

ага

там нет input, делать правило в prerouting ?

/ip firewall raw add action=drop chain=prerouting dst-port=53 in-interface-list=wan protocol=udp

так ?

Да

а чем хуже

/ip firewall filter

add action=drop chain=input dst-port=53 in-interface-list=wan protocol=tcp

а чем хуже

Проц меньше нагружается

а чем хуже

все дело в том, что пакеты попадающие на фильтер проходят через коннешн трэкинг. соответственно идет нагрузка на проц, а при режиме raw он их дропает напрямую до трекинга

Кроме 53-го надо еще прикрыть 123б 161 и 162 ?

Я сделал например так. это минималка /ip firewall raw add action=accept chain=prerouting dst-port=123 in-interface=wan protocol=udp src-port=123 add action=drop chain=prerouting dst-port=123 in-interface=wan protocol=udp add action=drop chain=prerouting dst-port=53 in-interface=wan protocol=udp add action=drop chain=prerouting dst-port=22 in-interface=wan protocol=tcp add action=drop chain=prerouting dst-port=23 in-interface=wan protocol=tcp add action=drop chain=prerouting dst-port=161 in-interface=wan protocol=udp

а зачем 123 разрешен ?

NTP, чтобы время синхронизировалось

Я читал, что через NTP тоже делают атаку с усилением

Народ, а функия галочкм allow remote requests в dns это разрешить работу днс сервера на микроте, в том числе и для внутренних клиентов? Если тупо заглушить 53 порт снаружи - этого достаточно ли ддосеров?

Да

Спс

где то читал, что можно снаружи пускать только ответы для DNAT

Поясните такую вещь. В микроте есть сброс конфы с восстановлением из бекапа после рестарта. Так вот, восстанавливает только именно из бекапа, а из экспортного скрипта нет. Так у всех или я рукожоп?

Поясните такую вещь. В микроте есть сброс конфы с восстановлением из бекапа после рестарта. Так вот, восстанавливает только именно из бекапа, а из экспортного скрипта нет. Так у всех или я рукожоп?

все правильно. так и должно быть. бэкап-файл - это бинарник. и его не прочесть. а экспорт как раз и сделан для того, чтоб можно было и команды видеть и сделать какие-нить исправления, потом загрузить в микротик. впринципе можно через шедулер и скрипт при старте запускать файлик с настройками, только тут надо быть аккуратным

Еще вроде как в бинарном бэкапе содержится больше, чем в экспорте

Задам вопрос не гугля, а есть воможность поднять 2 сессии с провайдером и отдать их в разные порты? На одном устройстве

%ifname для gw в /ip route

а чем хуже

А чем хуже пазрешить icmp establ related ssh на доступ а остальное закрыть? Ну впн еще может

А чем хуже пазрешить icmp establ related ssh на доступ а остальное закрыть? Ну впн еще может

Это в дефолте идет

А есть кто на НАГ форуме сидит?

%ifname для gw в /ip route

gateway=1.1.1.1%ether1 если правильно понял ворпос.

10.1.1.X БРАС провайдера

gateway=1.1.1.1%ether1 если правильно понял ворпос.

точно, с % раньше использовал. интерфейс в качестве gw тож работает