Web Proxy работает 10 сек

Базовая функциональность RouterOS
Ответить
Korolev
Сообщения: 11
Зарегистрирован: 18 ноя 2020, 17:05

Web Proxy работает 10 сек

Сообщение Korolev »

Доброго времени суток!
на внутреннем сервере распологаются 2 сайта. Запущен Web Proxy. Внутри локалки всё работает. Внешний доступ при первом включении прокси успешно проработал 2 дня.
Сейчас сайт может открываться минут 10, но чаще вообще не открывается (Превышено время ожидания ответа от сайта).
Если очистить кэш и перезапустить web proxy, то сайт открывается моментально, но работает секунд 10. Железяка мощная (RB4011iGS+RM), работает без напряга. Канал быстрый. Буду рад за подсказку ибо я уже голову сломал

Фото с настройками
Вложения
mikrotik.png
mikrotik.png (139.48 КБ) 1571 просмотр
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Web Proxy работает 10 сек

Сообщение Chupaka »

Здравствуйте. А трафик у вас не взлетает в небеса, когда включаете? А то у вас всё по 80 порту разрешено и в коннекшенах какая-то каша - есть подозрение, что вас как публичный открытый прокси используют :) Добавьте ещё deny-правило в конце Web Proxy Access
Korolev
Сообщения: 11
Зарегистрирован: 18 ноя 2020, 17:05

Re: Web Proxy работает 10 сек

Сообщение Korolev »

Chupaka писал(а): 18 окт 2021, 19:06 Здравствуйте. А трафик у вас не взлетает в небеса, когда включаете? А то у вас всё по 80 порту разрешено и в коннекшенах какая-то каша - есть подозрение, что вас как публичный открытый прокси используют :) Добавьте ещё deny-правило в конце Web Proxy Access
добавил. Connections убавилось вдвое, но всё равно не работает (Превышено время ожидания ответа от сайта)
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Web Proxy работает 10 сек

Сообщение Chupaka »

Вы же понимаете, что у вас вряд ли должно быть больше полутысячи соединений со случайными адресами?..

Что именно вы добавили - вы не показываете, поэтому комментировать с подробностями может только гадалка.
Korolev
Сообщения: 11
Зарегистрирован: 18 ноя 2020, 17:05

Re: Web Proxy работает 10 сек

Сообщение Korolev »

Chupaka писал(а): 19 окт 2021, 11:09 Вы же понимаете, что у вас вряд ли должно быть больше полутысячи соединений со случайными адресами?..

Что именно вы добавили - вы не показываете, поэтому комментировать с подробностями может только гадалка.
Я понимаю, что 500 соединений, которые появляются, как только я включаю прокси это ненормально(((
Вложения
Untitled-1.png
Untitled-1.png (133.75 КБ) 1550 просмотров
Korolev
Сообщения: 11
Зарегистрирован: 18 ноя 2020, 17:05

Re: Web Proxy работает 10 сек

Сообщение Korolev »

Код: Выделить всё

/ip firewall mangle
add action=add-src-to-address-list address-list=rdp_drop address-list-timeout=3h chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=redirect chain=dstnat comment="Web Proxy" dst-port=80 in-interface=pppoe-out1 protocol=tcp to-ports=8080
add action=netmap chain=dstnat comment="1C server RDP" dst-port=6546 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.62 to-ports=3389
add action=netmap chain=dstnat comment="SSH ubuntu" dst-port=6575 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.162 to-ports=22
add action=netmap chain=dstnat comment="FTP ngnx" dst-port=8712 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.162 to-ports=21
add action=netmap chain=dstnat dst-port=82 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.162 to-ports=80
add action=netmap chain=dstnat dst-port=81 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.162 to-ports=80
add action=netmap chain=dstnat comment="RDP MY PC" dst-port=6547 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.233 to-ports=3389
add action=netmap chain=dstnat comment=Synology dst-port=5000 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.111 to-ports=5000
add action=netmap chain=dstnat comment=FTP dst-port=21 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.111 to-ports=21
add action=netmap chain=dstnat comment=Ubuntu dst-port=6576 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.162 to-ports=80
add action=netmap chain=dstnat comment="1C server HTTP" disabled=yes dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.62 to-ports=80
add action=netmap chain=dstnat comment="MY PC" disabled=yes dst-port=6548 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.233 to-ports=443
add action=netmap chain=dstnat disabled=yes dst-port=6565 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.247 to-ports=3389

/ip firewall raw
add action=drop chain=prerouting dst-port=6546 protocol=tcp src-address-list=rdp_drop
add action=drop chain=prerouting dst-port=6547 protocol=tcp src-address-list=rdp_drop
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Web Proxy работает 10 сек

Сообщение Chupaka »

А в Firewall Filter у вас пусто? Такое чувство, что вот эти вот "халявщики" ломятся напрямую в порт 8080 (поскольку у вас только тысяча редиректов с 80 на 8080 - и две с половиной сотни тысяч реджектов). Можете попробовать сменить порт прокси на другой, для начала. И заблокировать доступ не через порт 80 (dst-port=8080 connection-nat-state=!dstnat action=drop). Ну и смотрите на особо "тяжёлых" клиентов: например, на скриншоте у вас с десяток соединений от 162.55.21.215, явно его можно просто по IP заблокировать - и ничего не потерять.
Корпич
Сообщения: 79
Зарегистрирован: 06 июн 2019, 16:42

Re: Web Proxy работает 10 сек

Сообщение Корпич »

Для проброса портов не нужно использовать функцию маппинга сетей, правильно заменить на dst-nat
Korolev
Сообщения: 11
Зарегистрирован: 18 ноя 2020, 17:05

Re: Web Proxy работает 10 сек

Сообщение Korolev »

Chupaka писал(а): 19 окт 2021, 15:08 А в Firewall Filter у вас пусто?
В фильтрах ничего необычного. Заблочены устройства которым нужна только локалка

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward disabled=yes src-address=192.168.1.185 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.77 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.76 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.71 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.118 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.120 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.74 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.17 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.16 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.13 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.19 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.18 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.22 src-address-list=""
add action=drop chain=forward comment=TV disabled=yes src-address=192.168.1.87 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.40 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.58 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.32 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.34 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.72 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.161 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.160 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.156 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.154 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.157 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.59 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.69 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.101 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.102 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.141 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.92 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.94 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.96 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.89 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.64 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.117 src-address-list=""
add action=drop chain=forward comment="\EF\EB\E0\ED\F8\E5\F2" disabled=yes src-address=192.168.1.66 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.63 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.5 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.8 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.39 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.226 src-address-list=""
add action=drop chain=forward disabled=yes src-address=192.168.1.47 src-address-list=""
Корпич писал(а): 19 окт 2021, 22:14 Для проброса портов не нужно использовать функцию маппинга сетей, правильно заменить на dst-nat
А можно подробнее? Для тупых))
Korolev
Сообщения: 11
Зарегистрирован: 18 ноя 2020, 17:05

Re: Web Proxy работает 10 сек

Сообщение Korolev »

Chupaka писал(а): 19 окт 2021, 15:08 Можете попробовать сменить порт прокси на другой, для начала
Спасибо огромное! Работает!
Вложения
Скриншот 20-10-2021 095454.jpg
Скриншот 20-10-2021 095454.jpg (116.81 КБ) 1533 просмотра
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Web Proxy работает 10 сек

Сообщение Chupaka »

Korolev писал(а): 20 окт 2021, 10:17 В фильтрах ничего необычного. Заблочены устройства которым нужна только локалка
У вас все правила отключены, так что я бы не сказал, что "ничего необычного" :D
Korolev
Сообщения: 11
Зарегистрирован: 18 ноя 2020, 17:05

Re: Web Proxy работает 10 сек

Сообщение Korolev »

Chupaka писал(а): 20 окт 2021, 15:51
Korolev писал(а): 20 окт 2021, 10:17 В фильтрах ничего необычного. Заблочены устройства которым нужна только локалка
У вас все правила отключены, так что я бы не сказал, что "ничего необычного" :D
Да это я от безысходности выключал всё что можно)
Ответить