kerafyrm 发表于 2024-2-7 18:52
正主在这,问一下,防火墙规则里,backtohome,wireguard之类规则放在哪条后面?
...
drop all not from LAN 之前,input 链 (
aitkots 发表于 2024-2-7 20:31
drop all not from LAN 之前,input 链 (
感谢,你的RouterOS攻略全网最详实最方便,适合我这样的小白
aitkots 发表于 2024-2-7 20:31
drop all not from LAN 之前,input 链 (
发现个问题,使用你的防火墙策略后,wireguard之类全部不能用了。。
本帖最后由 kerafyrm 于 2024-4-10 19:11 编辑
搞定了,wireguard,zerotier之类额外服务
第一步:在你的/ip firewall address-list里添加一条规则
/ip firewall address-list
add address=X.X.X.0/24 comment="lanconf: local Wireguard address" list=local_lan_ipv4
第二步:在Interface list里把wireguard加入到Lan里面
看来有必要购买个克隆盘,直接在n100上试试看看了,看了看profile中的cpu占用,routing占比太高,不知道为啥有那么多并发连接。搞不好是网心云的问题,之前先停用一下看看cpu能不能下来。
看规则感觉有点玩脱了,我5009收了2个bgp community set 然后几个同城wireguard隧道。防火墙规则合计不过10条,平均6%,最大10%。
本帖最后由 liuleisail 于 2024-2-12 20:50 编辑
晚上看了看,更可怕,同时并发connections到了7k+,cpu占用经常能上到65%以上,甚至偶尔70%,这个占用率,网络丢包肯定是常态了。
关闭了网心云……,cpu占用瞬间下来了,最高不超过20%,并发连接降低到1k2多点,正常了……
那个教程不错,但是过于复杂了,实在没有必要,规则越多,5009压力越大。
我建议在出厂默认防火墙的基础上完善一下,增加一些自己的需要的就可以了
我就是5009默认的12个防火墙规则,足够用了。
aaronz 发表于 2024-2-28 11:24
我就是5009默认的12个防火墙规则,足够用了。
觉得获得非公网ip的用户,用默认的12条规则是足够的。
哈哈哈三人行
慢慢看[恶魔]
liuleisail 发表于 2024-2-7 09:53
物理机纯装 routeros 不会拉满吧
RB5009性能在ROS硬件里算中下水平把。pppoe拨号网速拉起来就很耗cpu了。
你esxi里装个ros虚拟机,RB5009和N100的ROS分别跑一下Tools-Bandwidth Test 127.0.0.1的UDP和TCP,就很形象的知道性能差距了。
你可以Tools-Profile里看看那个项目cpu占用高,IP-Firewall里看Bytes列在跳流量的,就知道触发那个规则,来调整规则。
zsecsqawdx 发表于 2024-2-28 15:54
RB5009性能在ROS硬件里算中下水平把。pppoe拨号网速拉起来就很耗cpu了。
你esxi里装个ros虚拟机,RB5009 ...
手上没有 N100 没法测,请问大概差多少呢?
RB5009也就四核,没有fastpath或者fasttrack的加持根本干不过X86。原厂机器就是要开加速,不然很容易瓶颈。官方的测试数据没有NAT、PPPOE、IPV6,看看就好。跑策略还是X86强。
1.2Gbps下载,180Kpps,2.3万连接,CAKE流控,CPU25%。
没必要的规则太多了
welladam 发表于 2024-2-28 16:11
手上没有 N100 没法测,请问大概差多少呢?
这个是4405U cpu的,性能要比N100差不少。
zsecsqawdx 发表于 2024-2-28 20:30
这个是4405U cpu的,性能要比N100差不少。
跑那玩意看重的不是速率,而是会话数。而且,自环测也没啥实际效果。J6412 4核心+PVE。
blanksign 发表于 2024-2-28 21:02
跑那玩意看重的不是速率,而是会话数。而且,自环测也没啥实际效果。J6412 4核心+PVE。
...
是不是严谨的测试,就是简单直观反映cpu在ros里的大致性能,你cpu是真4核UDP就高点。
zsecsqawdx 发表于 2024-2-28 21:24
是不是严谨的测试,就是简单直观反映cpu在ros里的大致性能,你cpu是真4核UDP就高点。 ...
PVE虚拟,给的4核。这bandwidth-test就是一个图一乐的玩意。最高只能200条会话,没啥用。
blanksign 发表于 2024-2-28 21:29
PVE虚拟,给的4核。这bandwidth-test就是一个图一乐的玩意。最高只能200条会话,没啥用。 ...
我也是PVE虚拟,给的4核,我的cpu是双核超线程。
zsecsqawdx 发表于 2024-2-28 21:33
我也是PVE虚拟,给的4核,我的cpu是双核超线程。
我是实打实的4核心的U。
rx_78gp02a 发表于 2024-2-28 16:40
RB5009也就四核,没有fastpath或者fasttrack的加持根本干不过X86。原厂机器就是要开加速,不然很容易瓶颈。 ...
请问这个探针是哪个工具提供的呀?
7zki 发表于 2024-5-3 17:33
请问这个探针是哪个工具提供的呀?
prtg 通过snmp获取流量数据,ROS原生支持SNMP,还能自定义脚本获取连列数。
rx_78gp02a 发表于 2024-5-3 22:00
prtg 通过snmp获取流量数据,ROS原生支持SNMP,还能自定义脚本获取连列数。
感谢!
N100 放在爱快手里都是 A700X 了,10G x 2 ➕ 2.5G x 4,两条500M 宽带,cpu 跑到 100%,那估计好几万连接了吧,看个网课不至于这么大压力
数不清 发表于 2024-2-6 19:18
防火墙规则参考官方文档设置即可,过多的规则没必要,规则排列顺序可以参考官方视频基础教程。
标记,收藏
顺便问下,怎么收藏回复,有人知道吗
xzg19911123 发表于 2024-2-7 18:53
一看就是瞎设置把路由器干懵逼了
我很同意,就上个网课 跑个网心是不可能这么大负载的~~
用DoH 服务器的时候用阿里的会断网,DNSPod Public的就没事,不知道什么原因
本帖最后由 sypqj 于 2024-12-26 15:58 编辑
RB5009在家用都能成为瓶颈[雷人][雷人]
我现在也是RB5009,动态公网IPv4和v6。300M宽带,PT上下行都能差不多跑满+三个wireguard好像没有什么问题。
就是默认的防火墙,甚至还关了几个,不然从外面Winbox连不上。
家用动态IP的宽带其实最不怕DDoS了[傻笑] ,重启一下换个IP。甚至真给你来个DDoS,最先受不了的可能是你的光猫。
你家不对外提供公网服务的话,搞那么多防火墙规则干啥
只跑基础规则加qos的话(关闭fasttrack),2千兆左右不成问题,适应他的2.5G设计目标