Обычно, графическое изображение, даже нарисованное псевдографикой, называется картинкой.

да ладно не png - не картинка :) а вообще есть одна картинка и это

ну тут ему сразу станет понятно что куда =)

кстати дето видел наркоманскую схему путешествия трафика внутри Тика

там блоксхемами типо как тут было, но вообще адово

нашел ссылку на вики https://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6

ну тут уже как-то понятнее и разбито на разные диаграммы, а там все на одной было, большая сложная схема. Там показывалось как через iptables гуляет mangle вот это все. Но она мне как-то помогла прояснить некоторые моменты над которыми я голову ломал тогда.

сомое главное это то что человек хочет понять и может это сделать

там блоксхемами типо как тут было, но вообще адово

не наркоманская, её на одном из mum презентовал вроде бы Janis Megis

Хорошая картинка. Она лишь чуть-чуть подустарела, но не принцпиально - в RouterOS добавилась таблица raw. В большинстве случаев и этой более чем достаточно.

Ну понимание raw это следующий уровень

"Packet flow v6" показывает лишь особенности и отличия v6. Есть еще и общий "Packet flow"

https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Ну понимание raw это следующий уровень

Не соглашусь. Если есть понимание базового линуксового packet flow, то добавление raw мало меняет картину мира

вот стоит с нуля прочитать документацию про сети, я бы даже сказал отвлечённо от микрота.

я бы посоветовал iptables-howto. Файрволл в микротике на него похож почти до степени смешения. В том числе архитектурно.

таблицы, цепочки, порядок прохождения, критерии, признаки, действия... вот это всё

таблицы, цепочки, порядок прохождения, критерии, признаки, действия... вот это всё

А потом они и говорят настрой мне роутер. Ты ж инженер)

в микротике только вроде бы нет возможности создать свои цепочки

но не уверен. не пользовался этим ни разу.

в микротике только вроде бы нет возможности создать свои цепочки

есть. Просто написать любое название

да, только что проверил, работает. )

в микротике только вроде бы нет возможности создать свои цепочки

а какой юскейс этого дела?

экономия процессорного времени путём разветвления алгоритма проверки пакетов при большом количестве правил.

а о каких цифрах идёт речь, ну может был конкретный кейс какой то?

хз как происходит на микротиковском процессоре, но на обычных компах есть смысл ветвить, когда количество правил начинает измеряться сотнями в stateful-конфиге и десятками в stateless

У меня микротике настроены порты в input а читаю литературу про настройку фаервола и видеоурок там настраивают порты в форвард? В чем разница. И как правильно

В правильно настроенном fw нет нужды дополнительных действиях при пробросе портов.

а о каких цифрах идёт речь, ну может был конкретный кейс какой то?

примерно 300 правил. 300 мбит трафика чрезмерно нагружали csr 1036, пользователи жаловались. Именованные цепочки разгрузили проц, сейчас трафика около 500 Мбит, проблем по процу нет.

а о каких цифрах идёт речь, ну может был конкретный кейс какой то?

конкретный кейс - ну к примеру, гипотетически, если речь идёт о фронте, который распределяет коннекты клиентов к разным сервисам на бэкендах. Можно прогонять пакеты через правила, в которых будут одновременно проверки на порт и список адресов в ipset, например. Но если сервисов много, то пакеты тех из них, которые в списке идут дальше, будут проходить кучу правил, в каждом из которых система будет проверять одновременно и порт, и принадлежность адресу. Можно серьёзно сэкономить процессорное время, если проверку адреса запихать в отдельный chain и направлять туда пакеты после проверки порта.

таким образом пакеты будут проходить правила с проверками только лишь порта без многочисленных обращений к ipset

и фиг бы с ним, если это stateful конфиг (в разумных пределах), но если у нас stateless, то КАЖДЫЙ пакет будет адово тормозить систему

я обычно обхожусь 30-40 правилами на микротиках, потребности в более сложных конфигах не возникало (тьфу*3), но когда смотрю нагрузку на проц, как-то расстраиваюсь слегка. Наверное это издержки простеньких железок, 951 и 2011 в лучшем случае.)

CHR умеют же с несколькими ядрами работать?

В правильно настроенном fw нет нужды дополнительных действиях при пробросе портов.

add chain=forward connection-nat-state=dstnat но если нужно реализовать фильтр по адресам, то это надо делать в nat. А у меня какое-то внутреннее непринятие такого способа, хз уже почему.))

Таблица NAT не предназначена для фильтрации. Для фильтрации - таблица FILTER (input,forward,output)

Если хочется фильтровать раньше роутинга и трекинга соединений - фильтруем в RAW

так это понятно. Но это же чисто "идеологическое" ограничение, технически ничего не мешает это сделать. Если в filter использовано правило выше, то какой в нём смысл, если где-то надо фильтровать пакеты?))) Тут уж либо фильтровать в filter, либо перенаправлять избирательно по признакам в nat. Ну либо...

Чувачки, всем привет

Интересует проблема с MTU на тике с EOIP без pptp/l2tp/sstp

Почему-то не происходит фрагментация пакетов, которые гоняют в EOIP

Если же накинуть во влане сессию и адресацию на EOIP поставить с этой сессии, то все начинает бегать

Вопрос в том, откуда ноги растут у этой проблемы, сталкиваюсь не в первый раз

Почему-то не происходит фрагментация пакетов, которые гоняют в EOIP

Когда фрагментации нет, это хорошо. Чем вы недовольны-то?!

Если же накинуть во влане сессию и адресацию на EOIP поставить с этой сессии, то все начинает бегать

*Anton mode on*: перепишите вопрос на русском языке

я бы посоветовал iptables-howto. Файрволл в микротике на него похож почти до степени смешения. В том числе архитектурно.

потому что в микротике iptables? =)

Ну я предположил )

Не знаю на 100%. Но очень уж похоже.

А сколько сертификация у микротика действительна?

Разве не бессрочно?

Разве не бессрочно?

Где-то увидел три года, поэтому и решил уточнить

На сертификатах прямо так и написано "три года с момента выдачи"

Логично, т.к. за три года многое изменяется в настройках и параметрах. Если человек не пользуется - тем более забывает за три года окончательно.

Печаль-тоска. А для продления надо курс полностью заного слушать и сдавать, да?

Логично, т.к. за три года многое изменяется в настройках и параметрах. Если человек не пользуется - тем более забывает за три года окончательно.

Так одно дело, когда не пользуется, а совсем другое - не платит. Платить за то же самое через три года - это пипец же какой-то

потому что в микротике iptables? =)

Микротик в основе своей содержит ядро линукс. И iptables в качестве фаервола. Всё так.

netfilter

Cisco CCIE вообще всего два года действителен

https://www.cisco.com/web/RU/learning/le3/learning_about_recertication.html

Продляется всё конечно же за деньги?)

У всех вендоров везде экзамен платный

Только у микротика цены дешевле

Если процент от полного курса, то не так страшно

Здравствуйте к VPN на микротике можно прикрутить 2FA?

Можно.

Через СМС, например

Можно ссылку на статью?

Статья еще не написана. Это был коммерческий проект у меня.

Может в октябре соберусь и напишу

Ага, спасибо

А у вас для чего 2fa на vpn?

Обычно людям хватает icmp-port-knocking + vpn

Это почти 2FA, т.к. надо знать "пароль knocking'a" и пароль на vpn

Но через смс, конечно секурнее

Наткнулся на ASA SSL 2FA и подумал, что это лучше, чем лишние правила для Port Knocking'а, да и с айфона так просто не постучишь.

Наткнулся на ASA SSL 2FA и подумал, что это лучше, чем лишние правила для Port Knocking'а, да и с айфона так просто не постучишь.

https://itunes.apple.com/us/app/knockond/id333206277?mt=8

https://itunes.apple.com/us/app/portknock/id358353536?mt=8

https://itunes.apple.com/us/app/portknock/id358353536?mt=8

Че делает?

Че делает?

PortKnock?

ПО по ссылке.

http://ker-laeda.livejournal.com/23673.html

Делал когдато по этотому

Че делает?

unt0njs выше пожалился, что "с айфона так просто не постучишь". Это ему ссылка на софт для простукивания

unt0njs выше пожалился, что "с айфона так просто не постучишь". Это ему ссылка на софт для простукивания

Теперь понял что речь про айфон

Постучать легко можно со всего и всем

У микротика хороший API

Поэтому апач и Php и хоть пароли из. MySQL хоть куки

Хоть get параметры

Как вариант telegram bot

Новая прошивка вышла?

41 или какая там

Шкаф собираю, пока без инета