firewall gre igmp

0

1

Зачем igmp может пригодиться? у меня нет тв.
gre? тоже не использую.

Сейчас правило ~~{igmp,gre} reject protocol unreachable~~ drop
Как нужно правильно прием {igmp,gre} отключать?

Или маловероятно что кто ломанет меня через igmp и может правило совсем убрать? чтобы не нагружал mips

mikrotik роутер.

Вообщем, все не с локалной сети дропаю, кроме точно нужного.

Ссылка

←	Segmentation fault sh

Что поставить на Core 2 Duo?

→

разве igmp умеет сквозь нат? просто выключи и все.

Anoxemian ★★★★★
(20.02.22 12:17:37 MSK)

reject на внешнем интерфейсе - зло!

Если к тебе свалится мультикаст, то вместо тихого дропа будет ты будешь генерить ответные пакеты. Это точно будет нагружать твой мипс.

reject полезен против tcp в локальной сети.

vel ★★★★★
(20.02.22 12:58:42 MSK)

делай drop для всего кроме tcp, udp, icmp, в обе стороны

firkax ★★★★★
(20.02.22 13:07:37 MSK)

Ссылка

Ответ на: комментарий от Anoxemian 20.02.22 12:17:37 MSK

выключил т.к. если он включён разгрузка не работает, пакеты igmp все равно иногда очень редко, но приходят

~~naKovoNapalBaran~~ ★
(21.02.22 11:55:43 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 20.02.22 12:58:42 MSK

пакетов igmp gre приходит 60MiB за 50суток, я подумал если сделать drop, то по таймауту отключение дольше будет и придет больше пакетов в итоге

~~naKovoNapalBaran~~ ★
(21.02.22 12:00:05 MSK) автор топика

Ответ на: комментарий от naKovoNapalBaran 21.02.22 12:00:05 MSK

Гм, а ты думаешь, что получив reject они перестанут слать пакеты?

Хуже того, тебе будут приходить gre-пакеты с левым src, а ты будешь на этот левый src отправлять reject. Оно тебе нужно?

Отсылать на каждый левый пакет reject - зло.

reject полезен только в своей локальной сети.

vel ★★★★★
(21.02.22 16:32:41 MSK)

Ответ на: комментарий от vel 21.02.22 16:32:41 MSK

с левым src

исключительно drop нужен, подойдёт лимит?

~~naKovoNapalBaran~~ ★
(21.02.22 17:43:02 MSK) автор топика

Ссылка

Ответ на: комментарий от naKovoNapalBaran 21.02.22 12:00:05 MSK

пакетов igmp gre приходит 60MiB за 50суток

это всех отброшенных включая igmp gre tcp udp, не то смотрел.
igmp 1070KiB / 34k packet, gre 450KiB / 800 packet

~~naKovoNapalBaran~~ ★
(21.02.22 19:02:55 MSK) автор топика

Ссылка

https://help.mikrotik.com/docs/pages/viewpage.action?pageId=28606504

~~naKovoNapalBaran~~ ★
(21.02.22 19:28:09 MSK) автор топика

Ответ на: комментарий от naKovoNapalBaran 21.02.22 19:28:09 MSK

Эта хрень может разгрузку отключть и подгорит еще больше.
Вообщем тупо все дропаю и tcp и udp кроме точно нужного.

~~naKovoNapalBaran~~ ★
(21.02.22 20:14:41 MSK) автор топика

Ссылка

кто может это объяснить?
порт 36118 рандомный исходящий так понимаю, ip изменил

detect-ddos: in:bridge-lan out:pppoe-wan, src-mac mac:но:ут:а, proto UDP, 192.168.0.23:36118->6.9.4.2:443, NAT (192.168.0.23:36118->5.1.7.4:36118)->6.9.4.2:443, len 377

~~naKovoNapalBaran~~ ★
(28.02.22 00:28:31 MSK) автор топика
Последнее исправление: naKovoNapalBaran 28.02.22 00:28:49 MSK (всего исправлений: 1)

Ответ на: комментарий от naKovoNapalBaran 28.02.22 00:28:31 MSK

in:pppoe-wan out:pppoe-wan это что такое?

forward: in:pppoe-wan out:pppoe-wan, src-mac cc:bb:ff:55:44:33, proto UDP, 212.53.40.40:5060->10.64.239.66:42921, NAT 212.53.40.40:5060->(1.1.1.1:42921->10.64.239.66:42921), len 556

~~naKovoNapalBaran~~ ★
(28.02.22 20:51:35 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Segmentation fault sh

General

Что поставить на Core 2 Duo?

→

Похожие темы