nazdar, zrovna včera koukám proč jedno APčko má tak vysokej ping na všesměře i když tam teče pouhých 2Mbit. Při torchu koukám, že jeden klient vytváří spoustu, opravdu spoustu spojení v udp. Bejt to tcp tak omezim počet spojení ale to u udp nejde. Nakonec jsem to vyřešil omezením počtu paketů za sekundu na 50 ale to neni moc dobrý řešení jelikož až bude mít pc v pořádku, tak ho to bude řezat stále.
Otázka je, dá se proti tomu něco dělat?
Něco co by zamezilo podobným havětím globálně?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
spousta udp paketů
spousta udp paketů
- Přílohy
-
- udp.jpg
- (209.1 KiB) Staženo 2310 x
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
zavolat/napsat mu ? to je nejjednodusi reseni . do te doby ho budto odpojit nebo to co jsi uz udelal
0 x
Olda123 píše:zavolat/napsat mu ? to je nejjednodusi reseni . do te doby ho budto odpojit nebo to co jsi uz udelal
No jasně, zavolal jsem mu. Prej měl puštěný dva stahovací softwary. Trochu nechápu jaký to mohly udělat protože já mám puštěný třeba dc a torrent a bez problému to jede.
Ale i tak, neumim si představit co pak když to takhle udělá víc lidí.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
hapi píše:nazdar, zrovna včera koukám proč jedno APčko má tak vysokej ping na všesměře i když tam teče pouhých 2Mbit. Při torchu koukám, že jeden klient vytváří spoustu, opravdu spoustu spojení v udp. Bejt to tcp tak omezim počet spojení ale to u udp nejde. Nakonec jsem to vyřešil omezením počtu paketů za sekundu na 50 ale to neni moc dobrý řešení jelikož až bude mít pc v pořádku, tak ho to bude řezat stále.
Otázka je, dá se proti tomu něco dělat?
Něco co by zamezilo podobným havětím globálně?
prosimte jak jsi nastavil tech ty omezeni na 50sekun hledan to u connect limit ale nikde to tam nemuzu najit dikas
0 x
hapi píše:Trochu nechápu jaký to mohly udělat protože já mám puštěný třeba dc a torrent a bez problému to jede.
a bude veselo:
http://dsl.sk/article.php?article=8694&title=
0 x
/ip firewall filter add action=accept chain=forward comment="" disabled=yes limit=20,5 protocol=udp src-address=192.168.4.90
/ip firewall filter add action=drop chain=forward comment="" disabled=yes protocol=udp src-address=192.168.4.90
zaříznul jsem mu počet paketů (limit) a ne počet spojení (connection limit). Connection limit se nedá použít na UDP.
/ip firewall filter add action=drop chain=forward comment="" disabled=yes protocol=udp src-address=192.168.4.90
zaříznul jsem mu počet paketů (limit) a ne počet spojení (connection limit). Connection limit se nedá použít na UDP.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
zdravim
vyriesil niekto tento problem??? ja si s typ pomaly neviem rady... ked je na sektorke dajme tomu 5-8 klientov tahajucich cez torrenty, pricom vytvaraju kopec udp spojeni, tak ide linka do kolien. pingy padaju jak na pase, cca 5-12 percentny packet lost. ked im zakazem komunikaciu, tak data tecu cez sektor tak ako maju, proste bez vypadkov.
kazdemu takemuto klientovi som aj skusil obmedzit pocet udp paketov za sekundu, podobne ako to urobil aj hapi, ale nepomaha to... kazdy vytvori priblizne 10-20 udp spojeni, ale aj toto staci na to, aby proste totalne zasrali cely sektor. ked je tam 1-3 torrentovy tahaci, tak to este ide celkom ok, ale akonahle sa zvysi pocet ludi vyuzivajucich torrenty, tak to konci.
vyriesil niekto tento problem??? ja si s typ pomaly neviem rady... ked je na sektorke dajme tomu 5-8 klientov tahajucich cez torrenty, pricom vytvaraju kopec udp spojeni, tak ide linka do kolien. pingy padaju jak na pase, cca 5-12 percentny packet lost. ked im zakazem komunikaciu, tak data tecu cez sektor tak ako maju, proste bez vypadkov.
kazdemu takemuto klientovi som aj skusil obmedzit pocet udp paketov za sekundu, podobne ako to urobil aj hapi, ale nepomaha to... kazdy vytvori priblizne 10-20 udp spojeni, ale aj toto staci na to, aby proste totalne zasrali cely sektor. ked je tam 1-3 torrentovy tahaci, tak to este ide celkom ok, ale akonahle sa zvysi pocet ludi vyuzivajucich torrenty, tak to konci.
0 x
Resim problem s nejakym trojanem. Se snazi komunikovat na konkretni UDP port na nahodne vybrane adresy v internetu. Provoz neni velky ale takhle proskenuje nekolik desitek adres za sekundu a linuxovy shaper bere jednu unikatni IP + port na UDP jako spojeni a brzi dosahne limitu a nenavaze dalsi konexe i TCP dokud nevyprsi timeout.
Ma nekdo ideu jak tento stav kdy se klientska IP snazi navazat spoustu UDP spojeni na nahodne IP a na stejny cilovy port detekovat a hodit na banlist?
Limit UDP packet/s nic neresi.
Ma nekdo ideu jak tento stav kdy se klientska IP snazi navazat spoustu UDP spojeni na nahodne IP a na stejny cilovy port detekovat a hodit na banlist?
Limit UDP packet/s nic neresi.
0 x
"Slepému neukážeš, hluchému nepovíš, debilovi nedokážeš..."
Selič píše:Resim problem s nejakym trojanem. Se snazi komunikovat na konkretni UDP port na nahodne vybrane adresy v internetu. Provoz neni velky ale takhle proskenuje nekolik desitek adres za sekundu a linuxovy shaper bere jednu unikatni IP + port na UDP jako spojeni a brzi dosahne limitu a nenavaze dalsi konexe i TCP dokud nevyprsi timeout.
Ma nekdo ideu jak tento stav kdy se klientska IP snazi navazat spoustu UDP spojeni na nahodne IP a na stejny cilovy port detekovat a hodit na banlist?
Limit UDP packet/s nic neresi.
nechapem preco by to nemalo ist...
tcp spojenia obmedzis pocet spojeni na ip - klasika. nemas co skazit. ked si vycerpa svoj limit, tak je to uz zle aj pre teba, kedze je to znacna zataz pre sektor - to nech sa riesi ako servis.
udp spojenia zasa obmedz na packet/s s tym, ze nech to obmedzuje vsetky porty, okrem 53 (dns) a tym padom sa nestane to, ze nenacita stranky.
takto to mam a kopec ludi ma podobne virusy ako spominas ty a nie je problem...
0 x
fujara píše:hapi píše:Trochu nechápu jaký to mohly udělat protože já mám puštěný třeba dc a torrent a bez problému to jede.
a bude veselo:
http://dsl.sk/article.php?article=8694&title=
Nevím teda. Tam UDP popisují jako výhodu. Že to nezahlcuje linku atd...
Ale myslím že opak je pravdou
0 x
udp spojenia zasa obmedz na packet/s s tym, ze nech to obmedzuje vsetky porty, okrem 53 (dns) a tym padom sa nestane to, ze nenacita stranky.
Tohle prave vubec nepomuze, protoze to odchyti az linux na kterem to vycerpa limit udp spojeni. Ja to potrebuju chytat na lokalnim routeru.
Obecne Nekrotik ma na wireless s UDP nejaky problem.Pri stejnem objemu dat jako v TCP narustaji latence az nekde ke stovkam ms. Jedine co trochu pomaha na P2P spoji je nastavit RTS-CTS na 0.
0 x
"Slepému neukážeš, hluchému nepovíš, debilovi nedokážeš..."
-
neverhappy
- Příspěvky: 565
- Registrován: 19 years ago
Zdravim
Ja jsem temto lidem dal verejnou adresu a nechal je podepsat papir o zodpovednosti vuci sve IP s par clankama o nelegalnosti nabizeni dat.
Ted tahaji pres rapid, atd.. I kdyz verim ze nejaci klienti se budou maskovat, nebo pojedou pres proxy.
Ja jsem temto lidem dal verejnou adresu a nechal je podepsat papir o zodpovednosti vuci sve IP s par clankama o nelegalnosti nabizeni dat.
Ted tahaji pres rapid, atd.. I kdyz verim ze nejaci klienti se budou maskovat, nebo pojedou pres proxy.
0 x
trosku obnovim toto tema pokud to nevadi.
mam hranicni router mikrotik a potreboval bych omezovat pocty paketu a pocty konektu pro jednotlive IP adresy jak v protokolu UDP tak i v TCP.. Mohl by mi nekdo poradit jak na to...???
treba omezeni pro IP 172.16.10.22 a 172.16.10.24
mam hranicni router mikrotik a potreboval bych omezovat pocty paketu a pocty konektu pro jednotlive IP adresy jak v protokolu UDP tak i v TCP.. Mohl by mi nekdo poradit jak na to...???
treba omezeni pro IP 172.16.10.22 a 172.16.10.24
0 x
inspirace:
Počty paketů tu už proběhly (ono asi už všechno ...). Ale to omezovat je dle mě ve většině případů spíš zbytečné, na to je QOS.
Kód: Vybrat vše
/ip firewall filter
add action=reject chain=forward comment="konexe" connection-limit=200,32 connection-state=new disabled=no in-interface=vlan18 protocol=tcp \
reject-with=tcp-reset
add action=reject chain=forward connection-limit=100,32 connection-state=new disabled=no in-interface=vlan18 protocol=udp reject-with=\
icmp-admin-prohibited
add action=reject chain=forward connection-limit=100,32 connection-state=new disabled=no out-interface=vlan18 protocol=tcp reject-with=tcp-reset
add action=reject chain=forward connection-limit=80,32 connection-state=new disabled=no out-interface=vlan18 protocol=udp reject-with=\
icmp-admin-prohibited
Počty paketů tu už proběhly (ono asi už všechno ...). Ale to omezovat je dle mě ve většině případů spíš zbytečné, na to je QOS.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
tak myslis ze by bylo lepsi vytvorit QOS ??? mam anteny a na tech antenach mam vytvoreny limity, pouzivam ePMP od Cambia a tam vytvoreny rychlostni limity. Ale chci omezit jeste pocty paketu a connectu..
a to co si poslal tak to omezuje na vsechny IP adresy ty pakety a connecty ???? a je to jeste spravne ze i in-interface a out-interface je stejny ??? samozrejme musim doplnit svuj interfaces.. v mem pripae ePMP-AP
a to co si poslal tak to omezuje na vsechny IP adresy ty pakety a connecty ???? a je to jeste spravne ze i in-interface a out-interface je stejny ??? samozrejme musim doplnit svuj interfaces.. v mem pripae ePMP-AP
0 x