@r3aly

Mikrotik загрузка cpu 100% из-за DNS. Как быть?

Всем привет! Имею более 5 установленных SOHO роутеров микротик, в разных местах от разных провов, и с разной пропускной скоростью. И начал замечать, что время от времени загрузка роутеров приближается где-то к 100%, на других вываливается связь из-за малой пропускной способности инет-канала. Как выяснилось, причиной всего это во всех случаях какая-то нездоровая активность на DNS сервер Микротика которая либо забивает канал, либо если канал широкий съедает все cpu. Причем на всех установленных роутерах - внешние айпи адреса.

Настраивал все по мануалам, в фаерволле никаких правил не добавлял. Убрал только доступ к микротику, оставив WinBox.
Подскажите, как правильнее закрыть 53 порт? Что бы внутри ничего не нарушить :)
  • Вопрос задан
  • 21602 просмотра
Пригласить эксперта
Ответы на вопрос 8
@kirmw
если через вебку или винбокс, убрать галку с Allow remote request (IP->DNS)
Ответ написан
bk0011m
@bk0011m
Системный администратор
Закройте TCP 53-й порт
Запретите вообще все ДНС запросы из вне
Ответ написан
Комментировать
@StanislavFTW
То же самое было около года назад. Решилось закрытием 53 порта.
chain input; Dst Adress @твой IP
Protocol 6 (tcp)
Dst port 53.
action drop
(или при желании добавлять эти адреса флудеры в список и банить тот список на определенное время)

И еще 1 правило такое же правило для UDP
Protocol 17 (udp)
Ответ написан
Комментировать
LongJek
@LongJek
Оно?

What's new in 6.22 (2014-Nov-11 14:46):

*) ovpn - added support for null crypto;
*) files - allow to remove empty disk folders;
*) sntp - fix problems with dns name resolving failures that were triggering
system watchdog timeout;
*) eoip/eoipv6/gre/gre6/ipip/ipipv6/6to4 tunnels have new features:
tunnels go down when no route to destination;
tunnels go down for 1 minute when transmit loop detected, warning gets logged;
new keepalive-retries setting;
keepalives enabled by default for new tunnels (10sec interval, 10 retries);
*) improved connection-state matcher in firewall - can match multiple states in one rule, supports negation;
*) added connection-nat-state matcher - can match connections that are srcnatted,dstnatted or both;
*) 100% CPU load caused by DNS service fixed;
*) 100% CPU load caused by unclassified services fixed;
*) 6to4 tunnel fixed;
*) new RouterBOOT firmware for Metal 2SHPn to improve wireless stability;

forum.mikrotik.com/viewtopic.php?p=456188
Ответ написан
Комментировать
@r3aly Автор вопроса
Подскажите, как это правильнее сделать, потому как в фаерволе я запретил: input, source_adr 0.0.0.0/0 , dst. adr свой_внешний_айпи , 53 tcp. После чего внутрисети начались сложности с "резолвингом" адресов и пр.
Ответ написан
Gem
@Gem
а еще лучше совсем отключить днс на микротик и использовать\раздавать по dhcp - днс провайдера, публичные гугла (8.8.8.8 4.4.4.4) или яндекса dns.yandex.ru
Ответ написан
nimbo
@nimbo
1. обновить ROS до последней версии
2. сбросить настройки в ноль
3. настроить всё через quick set установив галку на Firewall.
Ответ написан
Комментировать
shaytan
@shaytan
Разрешите запросы ДНС от вашей локалки и запретите запросы ДНС для остальных.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы