为何限线后全部机都上网好慢!
RouterOS2.96限制线程,System->Script,点击 “+”,在
Source:添加
:for ip from 11 to 254 do={ip firewall filter add chain=forward src-address=("192.168.1. " . $ip . "/32") protocol=tcp connection-limit=50,32 action=drop}
我的机IP是192.168.1.8,应该不会影响我的上网速度,但整个网都很慢,这是为什么呢?
该不会把网关也限了吧?
原帖由 ran 于 2006-6-26 14:15 发表没有,网关是192.168.1.1的,要限的IP是:192.168.1.11-192.168.1.254
我机的IP是:192.168.1.8但也很慢,而且发现RouterOS的CPU好热!
RouterOS 2.96配置是P4 1.5G 256MDDR 128CF卡 我个人感觉昂:
从11-254, 每一台机器的每一次访问都要做记数, 并且比较一下是不是超过限制了
你想啊, 路由不累吗/ 估计你的CPU使用率不会太低, 检查一下吧
拙见, 还望高手指证 :for ip from 11 to 254 do={ip firewall filter add chain=forward src-address=("192.168.1. " . $ip . "/32") protocol=tcp connection-limit=50,32 action=drop}
应该是:
:for ip from 11 to 254 do={ip firewall filter add chain=forward src-address=("192.168.1. " . $ip . "/32") protocol=tcptcp-flags=syn connection-limit=50,32 action=drop} 楼上的兄弟, 我说的有没有错误? 0 ;;; drop all p2p
chain=forward p2p=all-p2p action=drop
1 ;;; suppress DoS attack
chain=forward protocol=tcp tcp-flags=syn connection-limit=10,32
src-address-list=black_list_forward action=drop
2 ;;; detect DoS attack to lan
chain=forward in-interface=lan protocol=tcp tcp-flags=syn connection-limit=500,32
action=add-src-to-address-list address-list=black_list_forward address-list-timeout=1d
3 ;;; delect Dos attack to wan
chain=forward in-interface=wan protocol=tcp tcp-flags=syn connection-limit=50,32
action=add-src-to-address-list address-list=black_list_forward address-list-timeout=1d
4 ;;; accept established packets
chain=forward connection-state=established action=accept
5 ;;; accept related packets
chain=forward connection-state=related action=accept
6 ;;; drop invalid packets
chain=forward connection-state=invalid action=drop
帮我看看, 我这样做是否合理, tcp-flags=syn 是根据兄弟刚说的, 改正的, 不知当否? for什么版本的?我这里说
ERROR: no such argument (chain)
2.8.x 按照你的设置,肯定完蛋 为什么, 请批评指正~小弟伶听教侮~ 你同时限制10个TCP连接转发,会很容易造成网站打不开的!
防止DOS其实用处不大,真的要有人攻击你,你的带宽又不及别人的话,肯定是没有太多的办法了!
还是因地制宜比较好 我按照LZ的设置。。。。。。。CPU100%,开机马上挂........都是LZ的错。。。。。。。5555555555 1 ;;; suppress DoS attack
chain=forward protocol=tcp tcp-flags=syn connection-limit=10,32
src-address-list=black_list_forward action=drop
兄弟, 要看仔细了,src-address-list=black_list_forward 这条是起作用的 只要加入黑名单的, 限为10个连接
2 ;;; detect DoS attack to lan
chain=forward in-interface=lan protocol=tcp tcp-flags=syn connection-limit=500,32
action=add-src-to-address-list address-list=black_list_forward address-list-timeout=1d
这条是说内网链接超过500, 就加入黑名单
3 ;;; delect Dos attack to wan
chain=forward in-interface=wan protocol=tcp tcp-flags=syn connection-limit=50,32
action=add-src-to-address-list address-list=black_list_forward address-list-timeout=1d
这条是说外网链接超过50, 就加入黑名单
这三条我后来做的改正的就是根据 专卖兄弟的说法加入了tcp-flags=syn 这条
[ 本帖最后由 小雨奇缘 于 2006-6-27 08:50 编辑 ] 10 ;;; drop not qd_ip packets ??? ___________________________________________________
chain=forward in-interface=wan src-address-list=!list_area_xx action=drop
另外的暂时性的丢弃了所有非本地区IP的包, 没办法, 被DDOS怕了
这条是不是应该放到最上边, 第一条上
1 ;;; suppress DoS attack
chain=forward protocol=tcp tcp-flags=syn connection-limit=10,32
src-address-list=black_list_forward action=drop
如果是被攻击时, 我会改为
1 ;;; suppress DoS attack
chain=forward protocol=tcpsrc-address-list=black_list_forward action=drop
或者我平时就用这样直接丢弃是不是比较好呢? 这样可以提高处理速度
[ 本帖最后由 小雨奇缘 于 2006-6-27 08:52 编辑 ] 先顶上来, 期待高手解答
页:
[1]
2