IO
Да, но микрот не потянет большую скорость. Мегабит 20-30. И только по TCP
Size: a a a
2020 March 27
E
я правильно сказал, дядь?
Не совсем)
E
Правило простое. Дропать в раве нужно ровно тогда, когда паразитный трафик превышает легитимный.
Вот тут уже да
E
суть в том, что дропая в раве, мы прогоняем абсолютно весь траффик (см пакетфлоу), в т.ч. и легитимный, через лишние правила, что создает лишнюю и никому не нужную нагрузку на рутер.
при мало-мальски большом для конкретного рутера траффика, это будет заметно.
рав актуален только при вышеупомянутом случае, когда нелигитимный траффик становится выше легитимного. тогда, действительно, его использование оправдано
при мало-мальски большом для конкретного рутера траффика, это будет заметно.
рав актуален только при вышеупомянутом случае, когда нелигитимный траффик становится выше легитимного. тогда, действительно, его использование оправдано
M
суть в том, что дропая в раве, мы прогоняем абсолютно весь траффик (см пакетфлоу), в т.ч. и легитимный, через лишние правила, что создает лишнюю и никому не нужную нагрузку на рутер.
при мало-мальски большом для конкретного рутера траффика, это будет заметно.
рав актуален только при вышеупомянутом случае, когда нелигитимный траффик становится выше легитимного. тогда, действительно, его использование оправдано
при мало-мальски большом для конкретного рутера траффика, это будет заметно.
рав актуален только при вышеупомянутом случае, когда нелигитимный траффик становится выше легитимного. тогда, действительно, его использование оправдано
это да, но это вопрос к количеству правил в раве. Врятли 2-3 правила, дропающие заведомо ненужный трафик создадут нагрузку. А вот пропуск этого ненужного на конн трекер и далее точно нафиг. Ну например dns c интернетов
M
В случае дропа инвалидов и просто "щупальщиков" RAW не даёт никаких преимуществ перед фильтром.
Сколько пакетов от общего числа пройденных через роутер попало в raw-drop? 0,01% ?
Это во-первых
А во-вторых, от серьёзного DDoS не спасёт ни RAW ни микрот вообще
Сколько пакетов от общего числа пройденных через роутер попало в raw-drop? 0,01% ?
Это во-первых
А во-вторых, от серьёзного DDoS не спасёт ни RAW ни микрот вообще
рассуждения понятны.
E
это да, но это вопрос к количеству правил в раве. Врятли 2-3 правила, дропающие заведомо ненужный трафик создадут нагрузку. А вот пропуск этого ненужного на конн трекер и далее точно нафиг. Ну например dns c интернетов
нагрузку создаст не 2-3 правила, дропающих "ненужный" траффик, а "нужный" траффик, который будет через это всё ходить.
есть такое понятие, "оптимизация" называется
есть такое понятие, "оптимизация" называется
M
нагрузку создаст не 2-3 правила, дропающих "ненужный" траффик, а "нужный" траффик, который будет через это всё ходить.
есть такое понятие, "оптимизация" называется
есть такое понятие, "оптимизация" называется
Ну ты ж сам сказал, когда нелигитимный превысит легитимный... ну т.е. зависит времени года, суток и ситуации.
VK
Hasper
можно если пробросить на циско порты для vpn к микроту
Или микротик будет клиентом
IO
нагрузку создаст не 2-3 правила, дропающих "ненужный" траффик, а "нужный" траффик, который будет через это всё ходить.
есть такое понятие, "оптимизация" называется
есть такое понятие, "оптимизация" называется
Но под это правило же можно не всё подгонять, а только определенный трафик
E
Но под это правило же можно не всё подгонять, а только определенный трафик
А как роутеру понять, попадает ли этот определенный траффик под это правило?)
ОП
А как роутеру понять, попадает ли этот определенный траффик под это правило?)
так это) нейросети там, искусственный интилект )
E
так это) нейросети там, искусственный интилект )
как я отстал от жизни!(
ОП
ваще )
M
Рассуждаем так: raw правила выполнены другим механизмом более тупым и простым нежели фаер, соответственно тратят на проверку меньше ресурсов
M
Но под это правило же можно не всё подгонять, а только определенный трафик
верно, перегружать рав проверками точно вредно
J
Коллеги, подскажите такой вопрос - насколько я понимаю в l2tp ipsec у микротика всегда используется общий ключ ipsec. Можно ли как-то сделать для каждого клиента разные ключи ipsec? Вопрос связан с тем, что если происходит компроментация ключа, то получается что весь трафик легко дешифруется. А если у каждого свой ключ, то потери будут значительно меньше.
E
Рассуждаем так: raw правила выполнены другим механизмом более тупым и простым нежели фаер, соответственно тратят на проверку меньше ресурсов
механизм там ровно такой же, как и везде, просто проверка идёт "раньше обычного"
но в общем случае, нам эти проверки не нужны в принципе, они лишние.
но в общем случае, нам эти проверки не нужны в принципе, они лишние.
E
Jack O'Nell
Коллеги, подскажите такой вопрос - насколько я понимаю в l2tp ipsec у микротика всегда используется общий ключ ipsec. Можно ли как-то сделать для каждого клиента разные ключи ipsec? Вопрос связан с тем, что если происходит компроментация ключа, то получается что весь трафик легко дешифруется. А если у каждого свой ключ, то потери будут значительно меньше.
можно. достаточно не настраивать ипсек галочкой.
AM
Jack O'Nell
Коллеги, подскажите такой вопрос - насколько я понимаю в l2tp ipsec у микротика всегда используется общий ключ ipsec. Можно ли как-то сделать для каждого клиента разные ключи ipsec? Вопрос связан с тем, что если происходит компроментация ключа, то получается что весь трафик легко дешифруется. А если у каждого свой ключ, то потери будут значительно меньше.
Кмк, можно, но придется для каждого пользователя делать свой идентити и в ручную налепливать иписек. Сам не пробовал.