AK
пожалуй вы правы
Size: a a a
2020 October 29
k
от брутфорса проще f2b защититься, имхо. да и тот же nginx сам со себе очень мощный инструмент, в плане разграничения доступа...
AK
у меня просто под все наты в файрвольной части универсальное правило настроено, которое все наты скопом обслуживает
AK
а руление ограничениями прямо в нат правиле встроено
AK
чтобы не размазывать логику по Н связанным правилам...
V
4011 хорошая штука, но есть беда с ним, он зависает каждый день, пришлось поставить скрипт, чтоб бутало каждый день в 5 утра.
если нагрузить 400 ппое сесий, 15 правил, и 400 quesues, то появляется странная особоенность, больше 500 мбит/с
не бегает, что в TCP что в UDP
Если выключить фаервол, и кюес то всё ок
Причем это только на одном такая хрень, другие, только зависают, с трафиком нет проблем.
если нагрузить 400 ппое сесий, 15 правил, и 400 quesues, то появляется странная особоенность, больше 500 мбит/с
не бегает, что в TCP что в UDP
Если выключить фаервол, и кюес то всё ок
Причем это только на одном такая хрень, другие, только зависают, с трафиком нет проблем.
AK
если перенести расписание в файрвол на дроп до accept established, то похоже заработает как надо
k
4011 хорошая штука, но есть беда с ним, он зависает каждый день, пришлось поставить скрипт, чтоб бутало каждый день в 5 утра.
если нагрузить 400 ппое сесий, 15 правил, и 400 quesues, то появляется странная особоенность, больше 500 мбит/с
не бегает, что в TCP что в UDP
Если выключить фаервол, и кюес то всё ок
Причем это только на одном такая хрень, другие, только зависают, с трафиком нет проблем.
если нагрузить 400 ппое сесий, 15 правил, и 400 quesues, то появляется странная особоенность, больше 500 мбит/с
не бегает, что в TCP что в UDP
Если выключить фаервол, и кюес то всё ок
Причем это только на одном такая хрень, другие, только зависают, с трафиком нет проблем.
хз. нагрузки не меньше, полтора десятка l2 сегментов, куча впн клиентов, вланы, косы, файервол, ospf, даже l7 кое-где фильтрую, нет проблем такого плана.
k
а у тебя 500 куда? в тунель?
V
а у тебя 500 куда? в тунель?
на гетвей, по порту, на влане
k
мб файервол где-то не выгребает?
А
а руление ограничениями прямо в нат правиле встроено
только не говори что у тебя нат выполняет функции фильтра
А
местные пацаны не оценят
k
по правилам хорошего тона первым должно быть правило, разрешающее форвард все установленных и всязанных соединений. в первых 30% правил должно обрабатываться 70% трафика. во вторых 30% еще 20% минимум. больше-лучше-меньше нагрузка на проц
V
мб файервол где-то не выгребает?
такие же фаерволы, на другом 4011, там 500 ппое сесий, но тарифы ниже, и трафика там до 400мби/с максимум.
там нет проблем со скоростью, не упирается
там нет проблем со скоростью, не упирается
IS
по правилам хорошего тона первым должно быть правило, разрешающее форвард все установленных и всязанных соединений. в первых 30% правил должно обрабатываться 70% трафика. во вторых 30% еще 20% минимум. больше-лучше-меньше нагрузка на проц
Как можно выше, но не обязательно первым
Либо пили скрипт, который будет убивать соединения после отключения проброса, но это ИМХО костыль
Либо пили скрипт, который будет убивать соединения после отключения проброса, но это ИМХО костыль
V
грузил другой 4011 на 1000 ппое, тянет нормально, CPU 60-70% но проблем не было, кюес, фаерволы
NO
надо выставить приорити https://asp24.ru/mikrotik/nastroyka-oborudovaniya-ru/gayd-po-vrrp-v-mikrotik/
Тупой вопрос у автора статьи Eth2-vrrp отдельно живт от бриджа или в общем бридже с другими лан интерфейсами?
PS
Тупой вопрос у автора статьи Eth2-vrrp отдельно живт от бриджа или в общем бридже с другими лан интерфейсами?
обычно ставят перемычку между двумя роутера. чтобы исключить поломку свичтча
NO
т.е. порты Eth2-vrrp каждого роутера в бридже с другими лан портами. И от каждого роутера еще по 1 лан порту идет в свитч?