Механизм работы dst-limit

[Vlad83]

Доброго времени суток!
Подскажите пожалуйста, никак не могу понять механизм работы данной опции, голову ломаю уже второй день!
Имею два следующих правила:

Код: Выделить всё

 9    ;;; Dos Filter
      chain=forward action=passthrough connection-state="" src-address=10.16.48.25 dst-limit=50,50,dst-address/10s log=no log-prefix="" 

10    ;;; Dos Filter
      chain=forward action=passthrough connection-state="" src-address=10.16.48.25 log=no log-prefix="" 

Во время upload`а на один и тот же хост вижу такую картину:

Не понимаю что попадает в 9-ое правило, если в 10-ом правиле Paket Rate = 720 ?
Насколько я понимаю значение Paket Rate в обоих правилах должно быть равно ?

[Chupaka]

9-е правило ловит пакеты, которых на каждый dst-address идёт в секунду не более 50

например, 10.16.48.25 шлёт пакеты на два адреса: 1.1.1.1 со скоростью 1000 пакетов в секунду, и на 2.2.2.2 со скоростью 10 пакетов в секунду

тогда первое правило будет ловить 60 пакетов в секунду (50 на 1.1.1.1 и 10 на 2.2.2.2), а второе - 1010 пакетов в секунду

[Vlad83]

9-е правило ловит пакеты, которых на каждый dst-address идёт в секунду не более 50

например, 10.16.48.25 шлёт пакеты на два адреса: 1.1.1.1 со скоростью 1000 пакетов в секунду, и на 2.2.2.2 со скоростью 10 пакетов в секунду

тогда первое правило будет ловить 60 пакетов в секунду (50 на 1.1.1.1 и 10 на 2.2.2.2), а второе - 1010 пакетов в секунду

Спасибо!
Всё равно не понимаю, если 9-е правило ограничило скорость пакетов на 1.1.1.1 до 50 , тогда почему до 2-го правила долетает 1000 пакетов?
Ведь если upload идёт ТОЛЬКО на адрес 1.1.1.1, то 9-е правило должно ограничить скорость пакетов до 50 в секунду, при этом счётчики Rate Limit у обоих правил должны быть равны ? Ведь 9-ое правило ограничило скорость пакетов до 50, соответственно на 10-м счётчик не может быть больше 50 ?

[Chupaka]

Правило не ограничивает скорость пакетов. Правило ловит пакеты только в указанном лимите. Т.е. можно ловить 50 пакетов в секунду, их accept'ить, остальные следующим правилом дропать. Вы же делаете passthrough, поэтому с "лишними" пакетами ничего не случается.

Вот тут я как-то описывал схему: http://wiki.mikrotik.com/wiki/DDoS_Dete ... d_Blocking

[Vlad83]

Правило не ограничивает скорость пакетов. Правило ловит пакеты только в указанном лимите. Т.е. можно ловить 50 пакетов в секунду, их accept'ить, остальные следующим правилом дропать. Вы же делаете passthrough, поэтому с "лишними" пакетами ничего не случается.

Вот тут я как-то описывал схему: http://wiki.mikrotik.com/wiki/DDoS_Dete ... d_Blocking

Спасибо за разъяснение, теперь всё встало на свои места! На одном из ресурсов меня ввело в заблуждение следующее определение:

Dst. Limit Ограничение количества передаваемых пакетов по адресу источника/назначения. В отличии от limit, учитываются пакеты для каждого адреса или адреса/порта в зависимости от выбранных опций.
Поля rate и burst соответствуют таковым в опции Limit.
Дополнительный поля:
Limit By – по какому критерию (src|dst address | address/port) учитывать пакеты.
Expire - через какой промежуток времени запомненный адрес/порт будут удалены.

и словосочетание "Ограничение количества" я воспринял буквально !!!

[Chupaka]

Трудности перевода