[研究所] MikroTik RouterOS 學習 (持續更新) (第534頁)

kclonline
個人積分：11分
文章編號：62658122

11分

5331樓

2016-12-09 0:24

最近嘗試設定Simple Queue，有個小問題。
DNS連線(使用過input和prerouting等)發現抓不到。
Mangle有標記和包流量顯示，但是Simple Queue就是反應沒流量。
試了試，流控上有反應也只是，上傳或下載單邊有反應。
不知道有大大能教在Simple Queue抓到DNS連線包正常方法嗎

gfx

gfx
個人積分：1603分
文章編號：62658466

1603分

5332樓

2016-12-09 1:22

kclonline wrote:
最近嘗試設定Simple...(恕刪)

chain的選擇決定您標記的位置.
NAT進/出口(prerouting / postrouting),還是路由器進/出口 (input / output),
還是區網的方向(forward)

/ip firewall mangle
add action=mark-packet chain=postrouting protocol=udp dst-port=53 \
new-packet-mark=upload_dns out-interface=pppoe-out1 passthrough=no
add action=mark-packet chain=prerouting protocol=udp src-port=53 \
new-packet-mark=download_dns in-interface=pppoe-out1 passthrough=no

/queue tree
add max-limit=100k name=UploadDNS packet-mark=upload_dns \
parent=pppoe-out1 queue=default
add max-limit=300k name=DownloadDNS packet-mark=download_dns \
parent=ether2-master-local queue=default

elodie319

elodie319
個人積分：59分
文章編號：62658764

59分

5333樓

2016-12-09 2:50

/ipv6 firewall raw add action=drop chain=prerouting

謝謝匯入正測試中

另一個問題。
我使用了 proxy.hinet.net

會自動加入　ipv6 而且使用上述設定

用網站測試

http://ipv6-test.com/

還是會進來

gfx

gfx
個人積分：1603分
文章編號：62658823

1603分

5334樓

2016-12-09 3:14

elodie319 wrote:
/ipv6 firewall...(恕刪)

那您再匯入/ipv6 firewall raw add action=drop chain=output ,
連Router向ISP提要求也封殺掉。

但...您幹嘛這麼刻意封殺？
您進system把Router的ipv6套件disable，重開機後Router變成沒ipv6的路由器不是省事的多!?

kclonline

kclonline
個人積分：11分
文章編號：62665922

11分

5335樓

2016-12-09 16:24

gfx wrote:
chain的選擇決定...(恕刪)

嗨G大，目前也還是沿用Queue Tree沒有問題。
但是發現效率上，Simple Queues再滿載時更優秀。
無奈Mangle就算正常標記，但是在Simple Queues無法正常偵測到流量。
不知道G大有嘗試過在Simple Queues抓取到DNS並且能正常顯示偵測流量嗎？

gfx

gfx
個人積分：1603分
文章編號：62666419

1603分

5336樓

2016-12-09 17:04

kclonline wrote:
嗨G大，目前也還是...(恕刪)

/ip firewall mangle
add action=mark-packet chain=postrouting protocol=udp dst-port=53 \
new-packet-mark=dns out-interface=pppoe-out1 passthrough=no

/queue simple add target=pppoe-out1 max-limit=300k/100k name=DNS packet-mark=dns

注意QoS的對象是DNS-Server ,非是本地.
所以DNS-Server的download 等於本地的upload ;相對DNS-Server的upload 等於本地的download.

若您的QoS對象是8.8.8.8 (google dns)這樣明確的地址.
mark-packet不必做了,直接在queue simple的target設8.8.8.8/32就好

kclonline

kclonline
個人積分：11分
文章編號：62668271

11分

5337樓

2016-12-09 20:21

gfx wrote:
/ip firewall...(恕刪)

原來是這樣，想說上下傳怎麼顛倒了 orz

謝謝G大解惑

題外話，TPE海纜從9月修到現在，晚上不定時炸一下，自家DNS也是

NeverGiveUp!!

NeverGiveUp!!
個人積分：44512分
文章編號：62670624

44512分

5338樓

2016-12-10 0:28

gfx wrote:
chain的選擇決定...(恕刪)

gfx wrote:
/ip firewall...(恕刪)

人品是做人最好的底牌．

elodie319

elodie319
個人積分：59分
文章編號：62671611

59分

5339樓

2016-12-10 6:47

＞ipv6套件disable

原本是這樣設定的

但是內部有設定 proxy.hinet.net 所以 ipv6 會進來

加上 WINDOWS 10 有一眾介面會自動啟動 IPV6

總之，目前依您的設定，打開 ipv6

把 ipv6 全丟棄目前 smartdns 現在運作是正常

thanks

LoveTaiwan

LoveTaiwan
個人積分：203分
文章編號：62684846

203分

5340樓

2016-12-11 20:42

請問 ddos 防護 ...這樣設ok嗎?...依樣畫葫蘆的...

[admin@Router OS] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=jump jump-target=detect-ddos connection-state=new

1 chain=detect-ddos action=return
dst-limit=32,32,src-and-dst-addresses/10s

2 chain=detect-ddos action=return src-address=192.168.0.1

3 chain=detect-ddos action=add-dst-to-address-list address-list=ddosed
address-list-timeout=10m

4 chain=detect-ddos action=add-src-to-address-list address-list=ddoser
address-list-timeout=10m

5 chain=forward action=drop connection-state=new src-address-list=ddoser
dst-address-list=ddosed