kirillant
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:| понять и разобраться с dst-limit |
ну давайте попробуем вместе
https://help.mikrotik.com/docs/display/ROS/Filter
https://help.mikrotik.com/docs/pages/viewpage.action?pageId=28606504
В сети много противоречивой информации, но как я себе вижу, это работает так:
вы задаёте допустим dst-limit=16(/1),32,src-and-dst-addresses/10s
и тогда у вас если хост не вылазит за пределы 16 пактов в сек, то правило срабатывает,
все пакеты свыше 16/сек "заполняют" значение burst, в нашем случае 32, то есть допустим у нас валит 20 пакетов в секунду, значит каждую секунду наш burst заполняется на 4, а всего там 32, то есть через 8 секунд у нас burst будет исчерпан, после чего правило работать для (только для данного flow) перестанет и пакет провалится на обработку дальше. Если вдруг оно прекратит долбить пакетами, то тогда через 10 сек flow будет удалён и правило снова будет готово срабатывать для аналогичного flow.
Там ещё много ньюансов относительно остальных правил фаирвола, чтобы сюда, куда вы хотите, долетали именно что только первые пакеты соединения, а так же отслеживать чтобы пакеты не сжирал фасттрекинг. По второй ссылке немного про это есть, там в частности предлагается использовать чейн RAW в котором обрабатываются сырые пакеты до того как они будут классифицированы конекшн-трекером итд. |
elay 4;
