为何限线后全部机都上网好慢!

ljc_168

routeros2.96

限制线程，System->Script，点击 “+”，在
Source：添加
:for ip from 11 to 254 do={ip firewall filter add chain=forward src-address=("192.168.1. " . $ip . "/32") protocol=tcp connection-limit=50,32 action=drop}


我的机IP是192.168.1.8,应该不会影响我的上网速度,但整个网都很慢,这是为什么呢?

ran

ljc_168

原帖由 ran 于 2006-6-26 14:15 发表

没有,网关是192.168.1.1的,要限的IP是:192.168.1.11-192.168.1.254

我机的IP是:192.168.1.8但也很慢,而且发现RouterOS的CPU好热!

RouterOS 2.96配置是P4 1.5G 256MDDR 128CF卡

小雨奇缘

我个人感觉昂:

从11-254, 每一台机器的每一次访问都要做记数, 并且比较一下是不是超过限制了

你想啊, 路由不累吗/ 估计你的CPU使用率不会太低, 检查一下吧

拙见, 还望高手指证

专卖精品

:for ip from 11 to 254 do={ip firewall filter add chain=forward src-address=("192.168.1. " . $ip . "/32") protocol=tcp connection-limit=50,32 action=drop}

应该是：
:for ip from 11 to 254 do={ip firewall filter add chain=forward src-address=("192.168.1. " . $ip . "/32") protocol=tcp  tcp-flags=syn connection-limit=50,32 action=drop}

小雨奇缘

楼上的兄弟, 我说的有没有错误?

小雨奇缘

0   ;;; drop all p2p
     chain=forward p2p=all-p2p action=drop

1   ;;; suppress DoS attack
     chain=forward protocol=tcp tcp-flags=syn connection-limit=10,32
     src-address-list=black_list_forward action=drop

2   ;;; detect DoS attack to lan
     chain=forward in-interface=lan protocol=tcp tcp-flags=syn connection-limit=500,32
     action=add-src-to-address-list address-list=black_list_forward address-list-timeout=1d

3   ;;; delect Dos attack to wan
     chain=forward in-interface=wan protocol=tcp tcp-flags=syn connection-limit=50,32
     action=add-src-to-address-list address-list=black_list_forward address-list-timeout=1d

4   ;;; accept established packets
     chain=forward connection-state=established action=accept

5   ;;; accept related packets
     chain=forward connection-state=related action=accept

6   ;;; drop invalid packets
     chain=forward connection-state=invalid action=drop


帮我看看, 我这样做是否合理,   tcp-flags=syn 是根据兄弟刚说的, 改正的, 不知当否?

seignior

for什么版本的?我这里说
ERROR: no such argument (chain)
2.8.x

专卖精品

按照你的设置，肯定完蛋

小雨奇缘

为什么, 请批评指正~  小弟伶听教侮~

专卖精品

你同时限制10个TCP连接转发，会很容易造成网站打不开的！

防止DOS其实用处不大，真的要有人攻击你，你的带宽又不及别人的话，肯定是没有太多的办法了！

还是因地制宜比较好

9939781

我按照LZ的设置。。。。。。。CPU100%，开机马上挂........都是LZ的错。。。。。。。5555555555

小雨奇缘

1   ;;; suppress DoS attack
     chain=forward protocol=tcp tcp-flags=syn connection-limit=10,32
     src-address-list=black_list_forward action=drop

兄弟, 要看仔细了,  src-address-list=black_list_forward 这条是起作用的 只要加入黑名单的, 限为10个连接


2   ;;; detect DoS attack to lan
     chain=forward in-interface=lan protocol=tcp tcp-flags=syn connection-limit=500,32
     action=add-src-to-address-list address-list=black_list_forward address-list-timeout=1d

这条是说内网链接超过500  , 就加入黑名单


3   ;;; delect Dos attack to wan
     chain=forward in-interface=wan protocol=tcp tcp-flags=syn connection-limit=50,32
     action=add-src-to-address-list address-list=black_list_forward address-list-timeout=1d

这条是说外网链接超过50  , 就加入黑名单

这三条我后来做的改正的就是根据 专卖兄弟的说法加入了  tcp-flags=syn 这条

[ 本帖最后由 小雨奇缘 于 2006-6-27 08:50 编辑 ]

小雨奇缘

10   ;;; drop not qd_ip packets ??? ___________________________________________________
     chain=forward in-interface=wan src-address-list=!list_area_xx action=drop

另外的暂时性的丢弃了所有非本地区IP的包, 没办法, 被DDOS怕了

这条是不是应该放到最上边, 第一条上

1   ;;; suppress DoS attack
     chain=forward protocol=tcp tcp-flags=syn connection-limit=10,32
     src-address-list=black_list_forward action=drop

如果是被攻击时, 我会改为

1   ;;; suppress DoS attack
     chain=forward protocol=tcp  src-address-list=black_list_forward action=drop

或者我平时就用这样直接丢弃是不是比较好呢? 这样可以提高处理速度

[ 本帖最后由 小雨奇缘 于 2006-6-27 08:52 编辑 ]

小雨奇缘

先顶上来, 期待高手解答