Na sieti sa mi vyskytol zaujimavy problem. Dlhe roky firewall nerobil ziadny problem. Ale asi den internet siel velmi pomaly, ping do netu okolo 1000ms (mal byt okolo 5ms). Problem s uploadom - max. 1mbit/s. Down rozne...ale pomaly nacitavalo stranky a vsetko mozne. CPU nebolo na 100%. Cez torch som zistil nejake IP z bogon rozsahov, ktore sa tvarili ako lokalne ale neboli - dal som ich dropovat nepomohlo.
Pomohlo az vypnutie tychto troch pravidiel, ktore chrania pred utokom flood. Teraz ma trapi, ci vlastne neprebiehal utok a tieto pravidla to neubranili a defakto to este viac zhorsili, kedze po ich vypnuti to ide dobre. Co si myslite?
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no
http://wiki.mikrotik.com/wiki/DoS_attack_protectionskusal som DST pridavat do adresslistu, zmenou posledneho pravidla DROP za toto:
chain=SYN-Protect action=add-dst-to-address-list tcp-flags=syn
connection-state=new protocol=tcp address-list=TCP-SYN-PROTECT
address-list-timeout=1d
len to mi tam hadze desiatky IP z vonku...zeby z tolkych prebiehal pokus o utok? alebo sa jedna o falosne pozitivne?