[研究所] MikroTik RouterOS 學習 (持續更新) (第439頁)

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：58549410

664分

4381樓

2015-12-13 14:00

necosjou wrote:
只是RB750GL的Memory變的超少的，只有17.1M…

如果你的不是固定IP有在提供服務，真的不需要匯入那麼多，開放需要的服務後把All全封鎖就行了，這麼多的Rule要讓RB系列來跑太辛苦它了

pctine

pctine
個人積分：5084分
文章編號：58555019

5084分

樓主

2015-12-14 1:02

Mason.Lyu wrote:
如果你的不是固定IP...(恕刪)

的確, 不曉得真的這樣操 RouterOS, 對於 Router 整體效能上是否有影響? 已經快走火入魔了.

尤其是這種動態更新的資料, 真的要做還是留給 browser add-on 來處理.

FB: Pctine

chengjc

chengjc
個人積分：211分
文章編號：58586066

211分

4383樓

2015-12-16 14:57

請教gfx兄，

合法的vpn用戶，也會每一分鐘就會check一次ip嗎？

因為我看了一下routeros 的 firewall/address lists，非法ip加入port scanner一次擋六天，
但是合法ip，好像還是每分鐘就確認一次，一直持續到斷線為止，
而不是每次合法正確登錄就加入mobile ip放行6天不用再確認？

gfx wrote:
您的PPTP/SSTP/L2TP/OVPN-Server常常被陌生人trying嗎?
是的話,您應該建立基本的VPN防護....(恕刪)

gfx

gfx
個人積分：1603分
文章編號：58586496

1603分

4384樓

2015-12-16 15:33

chengjc wrote:
請教gfx兄，合法...(恕刪)

你覺得需要把合法ip加到mobile裡24h;
還是不需要mobile清單，只要不放到port scanners就可以了？

我的firewall filter因為設白名單防火牆，設mobile開放是必要的;
但對大部份的人來說都是採黑名單制，這時mobile清單感覺就沒存在意義了。

說說您的想法，小弟再修飾成適用合有人使用的script。

chengjc

chengjc
個人積分：211分
文章編號：58586738

211分

4385樓

2015-12-16 15:55

小弟我只是入門的初學者，
不敢發表意見，
會這樣問，是因為我看routeros CPU使用率會1-50％跳來跳去，
但是小弟白天家中並沒有人在使用網路，
不懂為什麼使用率會飆高...
原本想說是不是因為web proxy匯入黑名單關係導致負荷增加，
把匯入的一萬多筆都刪除了，好像還是一樣，
只好再繼續找其他可疑地方，才發現routeros 一直在重複確認合法登錄的ip，
我原本還以為也是跟黑名單一樣，登入後確認沒問題就放行六天了..

小弟說說我的想法，若是把合法ip放入白名單中，例如六天，則六天內系統不用再次確認，
若是只是不放入黑名單，則系統還是會一直確認是否為非法登錄，
要我選擇的話，我會選擇放入白名單，然後一段時間（例如六天）不用再去確認，
減輕系統負荷...

小弟一點點上不了檯面粗淺意見..

gfx wrote:
你覺得需要把合法ip...(恕刪)

gfx

gfx
個人積分：1603分
文章編號：58587219

1603分

4386樓

2015-12-16 16:32

chengjc wrote:
小弟我只是入門的初...(恕刪)

可以把合法ip省去下次檢驗，但重點在於整個addres-list記錄ip的多不多。

若您的addres-list記錄的很少，
那從裡面搜索port scanners與mobile與a.test清單記錄的ip就顯得微不足道;
但您若address-list記錄有上千筆ip，
這每分鐘做ip的比對跟著是上千筆，cpu負擔自然大。

gfx

gfx
個人積分：1603分
文章編號：58591732

1603分

4387樓

2015-12-17 0:00

chengjc wrote:
小弟我只是入門的初...(恕刪)

VPN-Points新增第5種vpn "ipsec xauth"驗證.
https://dl.dropboxusercontent.com/u/34743921/vpncheck.txt

再次解釋RouterOS如搜索list="a.test" 時:
並非只是找a.test這個list目錄 ,
而是整個address-list都下去比對,看是否有list名稱為a.test的ip.
所以才讓每分鐘做檢查,都顯得極耗資源.

所以address-list記錄的ip越少,比對數目少相對硬體負荷低;
若記錄的ip有上千筆這麼多,那每鐘開始的那幾秒核心狂蹦恐怕是必然的.

derliang

derliang
個人積分：1143分
文章編號：58640351

1143分

4388樓

2015-12-21 18:48

大家好，我現在是用ROS6.33.3，一切正常。
但只要一更新到6.34rc版，IPv6就馬上出問題。
主要的問題是DHCPv6 Client會出現紅字，一直無法取得Prefix。
請問大家會有這樣的問題嗎？

另外想問一下，有ROS 7.0的消息嗎？

irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!

eavictor

eavictor
個人積分：6分
文章編號：58642163

6分

4389樓

2015-12-21 22:17

derliang wrote:
大家好，我現在是用R...(恕刪)

問官方的回答是ROS7還在alpha階段，很多功能都還沒辦法動
IPv6的部分我還沒升上6.34rc。

=================================================
最近這幾天不知道為什麼一直有人對GeoIP的主機DDoS

速度慢或是突然連不上的話請見諒

yuehjui

yuehjui
個人積分：56分
文章編號：58664129

56分

4390樓

2015-12-23 19:39

有個 vpn 從公司連回家的問題要請教大家, 先說明一下環境:

公司有兩條網路線:
1. 公司網路 - 公司提供給員工用的網路, 有管理有鎖一些 port, 但 pptp / l2tp 相關 port 沒鎖
2. 測試網路 - 測試用網路, 不鎖port, 無限制

家裏:
1. 使用 MikroTik RB450G (RouterOS v6.30.1) 架 PPTP & L2TP server
2. RB450G 下面接了一台 Synology DS415+ NAS

問題是這樣的, 當我在公司使用 PPTP/L2TP 透過 "公司網路" 連回家, 可以正常連線, 連外也都正常。
但是我要連回家中的 NAS 時, 在 browser 網址列打
1. http://wwww.mynas.com:5000 -- 使用 domain 連不上
2. http://123.123.123.123:5000 -- 改用家中網路的外部 ip 也一樣連不上
3. http://192.168.1.10:5000 -- 使用家裏區網 NAS 的 IP, 可以正常連上
4. http://www.mynas.com/wordpress/ -- 可以連上 nas 上使用 80 port 的 web server

如果改用公司 "測試網路", 則沒有任何問題。
後來有試過將 RouterOS 上的 PPTP & L2TP 關掉改用 NAS 提供的 PPTP & L2TP, 情形一樣.

感覺好像是 "公司網路" 有鎖 5000 port 的原因,
可是又不理解為什麼直接打 ip:5000 不行, 內部 ip:5000 卻可以。
有人知道原因為何嗎?

感謝回覆~