Сервер в кармане, или просто о сложном!

главная - Статьи - Mikrotik



Mikrotik Filter vs RAW, на практике

Дата обновления: 04.02.2022

Теги: Windows Linux Mikrotik

Решил на практике проверить, чем отличается filter от RAW. Если еще не сталкивались, то основное отличие RAW в том, что в RAW только цве цепочки - prerouting и output. Никаких там Connection Tracking и т.п. Соответсвенно, экономия на процессоре. Частое применение RAW (IP-Firewall-RAW) - дропать паразитный трафик (например, кто-то упорно лезет на порт 3556/UDP, причем настырно так лезет, плотно), не так сильно загружая процессор, как если бы использовать правило привычного firewall (Filter -> Input drop что-то там).

В Wiki Mikrotik сказано, что "Firewall RAW table allows to selectively bypass or drop packets before connection tracking that way significantly reducing load on CPU. Tool is very useful for DOS attack mitigation". Что ж, посмотрим, насколько significantly можно reducing load on CPU...

Под рукой старенький, но работающий, с кучей разных правил, от антиспама до port-forward, 951-й mikrotik (RB951G-2HnD).

Сделал два правила и разместил их первыми:

/ip firewall filter
add action=drop chain=input comment="TEST DROP SPEED" disabled=yes dst-port=\
    3665 in-interface=bridge-local protocol=udp

и

/ip firewall raw
add action=drop chain=prerouting comment="TEST DROP SPEED" dst-port=3665 \
    in-interface=bridge-local protocol=udp

И давай проверять :) По-очереди включал то одно, то другое правило, то оба выключал.

1) Windows / Packetsender

Сначала решил создать трафик с ноута Windows, утилита Packetsender (бесплатная, может в разных вариантах генерить трафик). На практике утилита не так уж напрягала микротик, но оно оказалось не так и плохо. Привожу результаты теста этой утилиткой (генерил трафик UDP, подключение ноута к микротику по проводу, загрузку канала смотрел с помощью Torch):

"нагрузка" 1.2 Мбит:
Загрузка CPU:
без фильтрации трафика - 16-30%
firewall - 16-30%
raw - 18-24%

"нагрузка" 2.2 Мбит:
Загрузка CPU:
без фильтрации трафика - 35-40%
firewall - 33-40%
raw - 28-32%

"нагрузка" 7-9 Мбит:
Загрузка CPU:
без фильтрации трафика - 92-100%
firewall - 88-100% (при этом интерфейс Winbox стал чаще тормозить - не обновлялся экран вовремя)
raw - 92-95%

Язык не поворачивается это назвать "нагрузкой", но тем не менее, ставлю в Torch нужный bridge, UDP и смотрю. Да, господа, это совсем не то, что я вижу обычно в speedtest в браузере - 80-100 Мбит. Это какие-то "неправильные", другие мегабиты :) Это поток однообразных пакетов, которые даже при скорости до 10 Мбит/с забивают процессор старенького 951-го.

2) Linux / trafgen

Честно говоря, я оказался недоволен тем, что утилита создавала такую небольшую нагрузку, зашел на сервер Linux и оттуда запустил поток утилитой trafgen, тоже UDP, но Torch показал уже 35 Мбит. Процессор роутера был забит на 100% независимо от того, что я включал :) как итог, микрот завис, пришлось идти с серверу, который генерил флуд и отключать кабель. Микротик просто перегрелся или забился, не знаю, что :))))) такого эффекта я не ожидал, честно.

Вывод 1: RAW, наверное, может показать себя эффективно, но это не обязательно будет вам заметно.

Вывод 2: Если на вас лезет танк, то все равно, с какой скоростью вы стреляете в него из пистолета...

Вот так вот получилось сравнить, насколько RAW эффективнее Filter. А еще я увидел, как самого себя заDDoSить можно на ровном месте. Не играйте в такие игры на работе ;)



Авторизуйтесь для добавления комментариев!


    забыли пароль?    новый пользователь?