Механизм работы dst-limit

Базовая функциональность RouterOS
Vlad83
Сообщения: 11
Зарегистрирован: 14 ноя 2016, 12:52

Механизм работы dst-limit

Сообщение Vlad83 »

Доброго времени суток!
Подскажите пожалуйста, никак не могу понять механизм работы данной опции, голову ломаю уже второй день!
Имею два следующих правила:

Код: Выделить всё

 9    ;;; Dos Filter
      chain=forward action=passthrough connection-state="" src-address=10.16.48.25 dst-limit=50,50,dst-address/10s log=no log-prefix="" 

10    ;;; Dos Filter
      chain=forward action=passthrough connection-state="" src-address=10.16.48.25 log=no log-prefix="" 
Во время upload`а на один и тот же хост вижу такую картину:

Не понимаю что попадает в 9-ое правило, если в 10-ом правиле Paket Rate = 720 ?
Насколько я понимаю значение Paket Rate в обоих правилах должно быть равно ?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Механизм работы dst-limit

Сообщение Chupaka »

9-е правило ловит пакеты, которых на каждый dst-address идёт в секунду не более 50

например, 10.16.48.25 шлёт пакеты на два адреса: 1.1.1.1 со скоростью 1000 пакетов в секунду, и на 2.2.2.2 со скоростью 10 пакетов в секунду

тогда первое правило будет ловить 60 пакетов в секунду (50 на 1.1.1.1 и 10 на 2.2.2.2), а второе - 1010 пакетов в секунду
Vlad83
Сообщения: 11
Зарегистрирован: 14 ноя 2016, 12:52

Re: Механизм работы dst-limit

Сообщение Vlad83 »

Chupaka писал(а): 03 фев 2017, 14:35 9-е правило ловит пакеты, которых на каждый dst-address идёт в секунду не более 50

например, 10.16.48.25 шлёт пакеты на два адреса: 1.1.1.1 со скоростью 1000 пакетов в секунду, и на 2.2.2.2 со скоростью 10 пакетов в секунду

тогда первое правило будет ловить 60 пакетов в секунду (50 на 1.1.1.1 и 10 на 2.2.2.2), а второе - 1010 пакетов в секунду
Спасибо!
Всё равно не понимаю, если 9-е правило ограничило скорость пакетов на 1.1.1.1 до 50 , тогда почему до 2-го правила долетает 1000 пакетов?
Ведь если upload идёт ТОЛЬКО на адрес 1.1.1.1, то 9-е правило должно ограничить скорость пакетов до 50 в секунду, при этом счётчики Rate Limit у обоих правил должны быть равны ? Ведь 9-ое правило ограничило скорость пакетов до 50, соответственно на 10-м счётчик не может быть больше 50 ?
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Механизм работы dst-limit

Сообщение Chupaka »

Правило не ограничивает скорость пакетов. Правило ловит пакеты только в указанном лимите. Т.е. можно ловить 50 пакетов в секунду, их accept'ить, остальные следующим правилом дропать. Вы же делаете passthrough, поэтому с "лишними" пакетами ничего не случается.

Вот тут я как-то описывал схему: http://wiki.mikrotik.com/wiki/DDoS_Dete ... d_Blocking
Vlad83
Сообщения: 11
Зарегистрирован: 14 ноя 2016, 12:52

Re: Механизм работы dst-limit

Сообщение Vlad83 »

Chupaka писал(а): 03 фев 2017, 17:40 Правило не ограничивает скорость пакетов. Правило ловит пакеты только в указанном лимите. Т.е. можно ловить 50 пакетов в секунду, их accept'ить, остальные следующим правилом дропать. Вы же делаете passthrough, поэтому с "лишними" пакетами ничего не случается.

Вот тут я как-то описывал схему: http://wiki.mikrotik.com/wiki/DDoS_Dete ... d_Blocking
Спасибо за разъяснение, теперь всё встало на свои места! На одном из ресурсов меня ввело в заблуждение следующее определение:
Dst. Limit Ограничение количества передаваемых пакетов по адресу источника/назначения. В отличии от limit, учитываются пакеты для каждого адреса или адреса/порта в зависимости от выбранных опций.
Поля rate и burst соответствуют таковым в опции Limit.
Дополнительный поля:
Limit By – по какому критерию (src|dst address | address/port) учитывать пакеты.
Expire - через какой промежуток времени запомненный адрес/порт будут удалены.
и словосочетание "Ограничение количества" я воспринял буквально !!! :lol:
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Механизм работы dst-limit

Сообщение Chupaka »

Трудности перевода :)