ќбсудим вашу задачу в Telegram - чате?

ћерион Ќетворкс

—етевое оборудование вендора Mikrotik €вл€етс€ весьма любопытным и привлекательным продуктом в сегменте SOHO (Small office/home office). —оотношение цены, качества, функционала и стабильности обеспечивает все большее распространение небольших белых коробочек в офисах небольших компаний.

Ќо спуст€ какое-то врем€ беззаботного пользовани€, пользователи начинают жаловатьс€. јдминистратор, открыв Winbox, переходит в раздел SystemResources и видит, что загрузка процессора 100%:

«агрузка процессора Mikrotik 100 %

Ќе стоит волноватьс€. ” нас есть решение. ¬се настройки и Ђтраблшутингї будем осуществл€ть с помощью Winbox.


Ќастройка Firewall в Mikrotik

ѕервым делом давайте проверим службу, котора€ больше всего Ђотъедаетї ресурсов процессор. ƒл€ этого, перейдем в раздел ToolsProfile:

ѕосмотреть службу, котора€ загружает процессор в Mikrotik

 ак видно из скриншота, львиную долю ресурсов нашего процессора занимает служба DNS. ƒавайте посмотрим, что происходит на уровне обмена пакетами на основном интерфейс ether1. ƒл€ этого воспользуемс€ утилитой ToolsTorch:

DNS спуфинг в Mikrotik

ћы видим большое количество пакетов с различных IP Ц адресов на 53 порт. Ќаш Mikrotik отвечает на каждый из таких запросов, тем самым, нерационально использу€ ресурсы процессора и повыша€ температуру.

Ёту проблему надо решать. —уд€ по сн€тому дампу, пакеты приход€т с частотой 10-20 секунд с одного IP Ц адреса. ƒобавим в наш Firewall два правила:

  1. ¬се IP Ц адреса, пакеты с которых приход€т на 53 порт нашего ћикротика будут помещатьс€ в специальный лист с названием dns spoofing на 1 час.
  2.  аждый IP Ц адрес, с которого будет поступать запрос на 53 порт будет провер€тьс€ на предмет нахождени€ в списке dns spoofing . ≈сли он там есть, мы будем считать, что это DNS Ц спуфинг с частотой реже чем раз в час и будем дропать данный пакет.

ѕереходим к настройке. ¬ разделе IPFirewallFilter Rules создаем первое правило нажав на значок Ђ+ї. ¬о кладке General указываем следующие параметры:

 ак закрыть DNS спуфинг на микротике
  • Chain = input - обрабатываем приход€щие пакеты
  • Protocol = UDP - нас интересуют пакеты, у которых в качестве транспорта используетс€ UDP
  • Dst. Port = 53 - портом назначени€ должен быть 53 порт, то есть DNS служба
  • In. Interface = ether1 - проверка подвергаютс€ все пакеты, которые приход€т на интерфейс ether1, который смотрит в публичную сеть.

ѕереходим во вкладку Action:

ƒобавить IP Ц адреса в список на Mikrotik
  • Action = add src to address list - в качестве действи€, мы будем добавл€ть IP Ц адрес источника в специальный лист
  • Address List = dns spoofing - указываем им€ листа, в который добавл€ем IP
  • Timeout = 01:00:00 - добавл€ем на 1 час

Ќажимаем Apply и OK. Ќастроим второе правило, так же нажав на Ђ+ї:

ƒропать нежелательные пакеты Mikrotik

 ак видно, настройки во вкладке General в данной вкладке идентичны первому правилу. Ќажимаем на вкладку Advanced:

Action Drop Mikrotik
  • Src. Address List= dns spoofing - указываем ћикротику, производить проверку приход€щего пакета на предмет нахождени€ в указанном листе

ѕереходим во вкладку Action:

Action Drop Mikrotik
  • Action = drop - если IP Ц адрес пакета есть в указанном списке, то дропаем этот пакет.

ѕосле того, как оба правила стали активны переходи во вкладку IPFirewallAddress Lists:

 Address Lists Mikrotik

 ак видно, адреса стали добавл€тьс€ в список на 1 час. “еперь давайте проверим загрузку процессора:

ѕроблема с загрузкой процессора на Mikrotik решена

“еперь загрузка процессора в пределах нормы. ѕроблема решена.


ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных