Страница 1 из 1
Web Proxy работает 10 сек
Добавлено: 18 окт 2021, 17:00
Korolev
Доброго времени суток!
на внутреннем сервере распологаются 2 сайта. Запущен Web Proxy. Внутри локалки всё работает. Внешний доступ при первом включении прокси успешно проработал 2 дня.
Сейчас сайт может открываться минут 10, но чаще вообще не открывается (Превышено время ожидания ответа от сайта).
Если очистить кэш и перезапустить web proxy, то сайт открывается моментально, но работает секунд 10. Железяка мощная (RB4011iGS+RM), работает без напряга. Канал быстрый. Буду рад за подсказку ибо я уже голову сломал
Фото с настройками
Re: Web Proxy работает 10 сек
Добавлено: 18 окт 2021, 19:06
Chupaka
Здравствуйте. А трафик у вас не взлетает в небеса, когда включаете? А то у вас всё по 80 порту разрешено и в коннекшенах какая-то каша - есть подозрение, что вас как публичный открытый прокси используют
Добавьте ещё deny-правило в конце Web Proxy Access
Re: Web Proxy работает 10 сек
Добавлено: 18 окт 2021, 21:57
Korolev
Chupaka писал(а): ↑18 окт 2021, 19:06
Здравствуйте. А трафик у вас не взлетает в небеса, когда включаете? А то у вас всё по 80 порту разрешено и в коннекшенах какая-то каша - есть подозрение, что вас как публичный открытый прокси используют
Добавьте ещё deny-правило в конце Web Proxy Access
добавил. Connections убавилось вдвое, но всё равно не работает (Превышено время ожидания ответа от сайта)
Re: Web Proxy работает 10 сек
Добавлено: 19 окт 2021, 11:09
Chupaka
Вы же понимаете, что у вас вряд ли должно быть больше полутысячи соединений со случайными адресами?..
Что именно вы добавили - вы не показываете, поэтому комментировать с подробностями может только гадалка.
Re: Web Proxy работает 10 сек
Добавлено: 19 окт 2021, 12:48
Korolev
Chupaka писал(а): ↑19 окт 2021, 11:09
Вы же понимаете, что у вас вряд ли должно быть больше полутысячи соединений со случайными адресами?..
Что именно вы добавили - вы не показываете, поэтому комментировать с подробностями может только гадалка.
Я понимаю, что 500 соединений, которые появляются, как только я включаю прокси это ненормально(((
Re: Web Proxy работает 10 сек
Добавлено: 19 окт 2021, 13:01
Korolev
Код: Выделить всё
/ip firewall mangle
add action=add-src-to-address-list address-list=rdp_drop address-list-timeout=3h chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=redirect chain=dstnat comment="Web Proxy" dst-port=80 in-interface=pppoe-out1 protocol=tcp to-ports=8080
add action=netmap chain=dstnat comment="1C server RDP" dst-port=6546 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.62 to-ports=3389
add action=netmap chain=dstnat comment="SSH ubuntu" dst-port=6575 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.162 to-ports=22
add action=netmap chain=dstnat comment="FTP ngnx" dst-port=8712 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.162 to-ports=21
add action=netmap chain=dstnat dst-port=82 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.162 to-ports=80
add action=netmap chain=dstnat dst-port=81 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.162 to-ports=80
add action=netmap chain=dstnat comment="RDP MY PC" dst-port=6547 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.233 to-ports=3389
add action=netmap chain=dstnat comment=Synology dst-port=5000 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.111 to-ports=5000
add action=netmap chain=dstnat comment=FTP dst-port=21 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.111 to-ports=21
add action=netmap chain=dstnat comment=Ubuntu dst-port=6576 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.162 to-ports=80
add action=netmap chain=dstnat comment="1C server HTTP" disabled=yes dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.62 to-ports=80
add action=netmap chain=dstnat comment="MY PC" disabled=yes dst-port=6548 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.233 to-ports=443
add action=netmap chain=dstnat disabled=yes dst-port=6565 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.247 to-ports=3389
/ip firewall raw
add action=drop chain=prerouting dst-port=6546 protocol=tcp src-address-list=rdp_drop
add action=drop chain=prerouting dst-port=6547 protocol=tcp src-address-list=rdp_drop
Re: Web Proxy работает 10 сек
Добавлено: 19 окт 2021, 15:08
Chupaka
А в Firewall Filter у вас пусто? Такое чувство, что вот эти вот "халявщики" ломятся напрямую в порт 8080 (поскольку у вас только тысяча редиректов с 80 на 8080 - и две с половиной сотни тысяч реджектов). Можете попробовать сменить порт прокси на другой, для начала. И заблокировать доступ не через порт 80 (dst-port=8080 connection-nat-state=!dstnat action=drop). Ну и смотрите на особо "тяжёлых" клиентов: например, на скриншоте у вас с десяток соединений от 162.55.21.215, явно его можно просто по IP заблокировать - и ничего не потерять.
Re: Web Proxy работает 10 сек
Добавлено: 19 окт 2021, 22:14
Корпич
Для проброса портов не нужно использовать функцию маппинга сетей, правильно заменить на dst-nat
Re: Web Proxy работает 10 сек
Добавлено: 20 окт 2021, 10:17
Korolev
Chupaka писал(а): ↑19 окт 2021, 15:08
А в Firewall Filter у вас пусто?
В фильтрах ничего необычного. Заблочены устройства которым нужна только локалка
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward disabled=yes src-address=192.168.1.185 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.77 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.76 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.71 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.118 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.120 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.74 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.17 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.16 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.13 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.19 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.18 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.22 src-address-list=""
add action=drop chain=forward comment=TV disabled=yes src-address=192.168.1.87 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.40 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.58 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.32 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.34 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.72 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.161 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.160 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.156 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.154 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.157 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.59 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.69 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.101 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.102 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.141 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.92 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.94 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.96 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.89 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.64 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.117 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.66 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.63 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.5 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.8 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.39 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.226 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.47 src-address-list=""
Корпич писал(а): ↑19 окт 2021, 22:14
Для проброса портов не нужно использовать функцию маппинга сетей, правильно заменить на dst-nat
А можно подробнее? Для тупых))
Re: Web Proxy работает 10 сек
Добавлено: 20 окт 2021, 10:55
Korolev
Chupaka писал(а): ↑19 окт 2021, 15:08
Можете попробовать сменить порт прокси на другой, для начала
Спасибо огромное! Работает!
Re: Web Proxy работает 10 сек
Добавлено: 20 окт 2021, 15:51
Chupaka
Korolev писал(а): ↑20 окт 2021, 10:17
В фильтрах ничего необычного. Заблочены устройства которым нужна только локалка
У вас все правила отключены, так что я бы не сказал, что "ничего необычного"
Re: Web Proxy работает 10 сек
Добавлено: 20 окт 2021, 17:41
Korolev
Chupaka писал(а): ↑20 окт 2021, 15:51
Korolev писал(а): ↑20 окт 2021, 10:17
В фильтрах ничего необычного. Заблочены устройства которым нужна только локалка
У вас все правила отключены, так что я бы не сказал, что "ничего необычного"
Да это я от безысходности выключал всё что можно)