Страница 1 из 1

Mikrotik - Некоторые заметки

Добавлено: 17 янв 2023, 09:36
ustim
Как посмотреть конфигурацию mikrotik?
Что бы просто посмотреть конфигурацию микротика в терминале, необходимо выполнить команду

Код: Выделить всё

/export compact
Что бы сохранить файл конфигурации, выполняем

Код: Выделить всё

/export compact file=config
После выполнения данный файл конфигурации можно найти в памяти устройства (меню Files)
Выборочное сохранение настроек
Бывают ситуации, когда нужно сохранить часть настроек, например, правила фаервола, скрипты, NAT, правила маркировки пакетов и т.п. Для этого помогут следующие команды:
ip address export file=ip.rsc
ip firewall mangle export file=mangle.rsc
ip firewall nat export file=nat.rsc
ip firewall filter export file=filter.rsc
queue simple export file=simple.rsc
ip dns export file=dns.rsc
files backup export file=backup.rsc
system script export file=script.rsc
system scheduler export file=scheduler.rsc
tool e-mail export file=email.rsc
ip firewall address-list export file=address-list.rsc
ip route export file=route.rsc
ip dhcp-server network export file=network.rsc
queue type export file=type.rsc
queue tree export file=tree.rsc
queue simple export file=simple.rsc
interface ethernet export file=ethernet.rsc
ip pool export file=pool.rsc
ppp profile export file=profile.rsc
log export file=log.rsc
Высокая загрузка процессора Mikrotik
1. Первым делом заходим в Tools->Profile, выбираем Cpu - all и нажимаем кнопаньку Start
2. Смотрим и видим, что высокая загрузка у службы DNS
Изображение

3. Затем открываем Tools->Torch, выбираем входящий интерфейс, в моем случае это Beeline, галки ставим как на скрине и запускаем Start.
Теперь мы видим кучу запросов с разных IP адресов к нам на 53-й порт. Вот они и грузят наш процессор.
Изображение

4. Что бы это исправить, добавим в наш фаервол 2 правила:
  • Все IP – адреса, пакеты с которых приходят на 53 порт нашего Микротика будут помещаться в специальный лист с названием dns spoofing на 1 час.
  • Каждый IP – адрес, с которого будет поступать запрос на 53 порт будет проверяться на предмет нахождения в списке dns spoofing . Если он там есть, мы будем считать, что это DNS – спуфинг с частотой реже чем раз в час и будем дропать данный пакет.
Идем в раздел IP > Firewall > Filter Rules
Создаем 1-е правило:
ИзображениеИзображение
Chain = input - обрабатываем приходящие пакеты
Protocol = UDP - нас интересуют пакеты, у которых в качестве транспорта используется UDP
Dst. Port = 53 - портом назначения должен быть 53 порт, то есть DNS служба
In. Interface = Beeline - проверка подвергаются все пакеты, которые приходят на интерфейс Beeline, который смотрит в публичную сеть.

Action = add src to address list - в качестве действия, мы будем добавлять IP – адрес источника в специальный лист
Address List = dns spoofing - указываем имя листа, в который добавляем IP
Timeout = 01:00:00 - добавляем на 1 час
Теперь добавим 2-е правило:
ИзображениеИзображениеИзображение
Src. Address List= dns spoofing - указываем Микротику, производить проверку приходящего пакета на предмет нахождения в указанном листе
Action = drop - если IP – адрес пакета есть в указанном списке, то дропаем этот пакет.
После сохранения вы заметите, как загрузка процессора упадет.