:local variable
:set variable [/ip address get [find interface=ether1] address]
:for i from=( [:len $variable] - 1) to=0 do={ :if ( [:pick $variable $i] = "/") do={ :set variable [:pick $variable $i ([:len $variable])];  }}
set IPBridgeLocal ([/ip address get [find interface=ether1] network]. $variable)

хотспотовые удаляемые, они удаляются этой командой

Всем привет, кто-то за что-то решил меня поддосить. Траф небольшой, 50Мбит, роутеру пофиг, но по внешнему адресу не достучаться.
Трафик на 95% идет UDP, в RAW Prerouting запретил любой UDP трафик на внешнем интерфейсе (кроме нужных портов, типа l2tp и т.д.), ДНС завернут в ВПН, который уходит на ВПС через другой канал.
Сейчас все сервисы перевел на второй канал.
Я так понимаю, микротик никак не сможет отбить ДДОС, надо звонить провайдеру?

хотспот, радиус, что-то там еще было

ДДОС примерно 6000 пакетов в секунду.

а на что стучится?

на рандомные UDP порты, либо входящий вообще без порта.

taprit пробовал ?

или он только с tcp умеет

стучатся в основном с  исходящих UDP 53 портов

в том-то и дело, что большинство правил подобных только с TCP работают.

dns amplification

А что за железка? А то 6к ппс выглядит не очень солидно, если только канал провайдера не забивается

мож кто петлю схватил в подсетке. сорс мак смотрел?

У Вас что не совет, то перл. )

hEX, наверное упирается в провайдера, сейчас по счетчику, атака идет примерно с 300 тыс уникальных адресов.
При отфильтровывании UDP трафика в RAW, микротик нагружен на 4-10%.

Благодарю

Не думаю, ддосят с перерывами посмотреть, не упало ли железо ))

Не за что.

ну так если у вас канал 50мбит и вам его забивают на 50 мбит, то вы со своей стороны на это никак не повлияете. тут фильтровать на уровне провайдера надо.