Sergey
firewall на 192.168.1.9?
Andrey
а она ваще должна вот просто так ходить? есть сеть ...1.1/24 и ...50.1/24, коммутация между ними не получится, т.к. масками ограничен бродкаст домен, значит нужна маршрутизация
NIKOLYA
ну а роуты то сами динамически создаются на эти сети
Andrey
может потому, что адреса бриджу назначены, а не физическому интерфейсу?
NIKOLYA
может потому, что адреса бриджу назначены, а не физическому интерфейсу?
тоже самое, только с боку
Andrey
1.9 - винда?
NIKOLYA
ну а что ж еще ... не перевариваю её)
Andrey
в packet sniffer видно, что пакет уходит с нужного интерфейса на 1.9?
NIKOLYA
в общем в винде поставил статикой адрес из 50й сети и в дополнительно добавил адрес из 1й сети ... так работает)
ничего я не понимаю😁
Andrey
не понял вопроса
Думаю тут коллега спрашивал, не фильтрует ли фаерволл клиентского устройства подключения со 192.168-другой сети
Andrey
и скорее всего тут истина :)
NIKOLYA
можно сказать что микрот в полном дефолте, только изменена сеть с 88 на 50 и на тот же бридж добавлен еще адрес из 1й сети
Дмитрий
В правилах бриджа посмотри нет ли забредающих правил - почему то создаются сами
Sergey
А если убрать бридж, на 2 интерфейса по адресу из каждой подсети?
Дмитрий
Стоп
Дмитрий
Если 2 разных бриджа ! И нет ни одного общего интерфейса в бридже - такое и будет
NIKOLYA
микрот 2011 ... 2й и 6й порты мастеры и эти порты в бридже
Дмитрий
Пишешь 1 бридж, назначены разные сети, ну все работать будет
Дмитрий
Не помню где сейчас посмотрю создавались 2 правила запрещающие форвардинг
NIKOLYA
ну если в бридже отключено юзание файервола, что еще может блочить?
NIKOLYA
сам микрот и 1ю и 50ю сеть видет
NIKOLYA
если в винде руками ставить 1ю сеть, то 50ю не видно ... и в обратном порядке тоже самое
NIKOLYA
я наверное просто дурак, потому что первый раз такое вижу)
Andrey
в packet sniffer видно, что пакет уходит с нужного интерфейса на 1.9?
Дмитрий
Последнее время стал замечать 2 правила в настройках бриджа которые не создавал посмотри у себя то же bridge --> filter
Sergey
Самый простой способ диагностики, отключить запрещающие правила, если заработает - включать по одному и проверять что заблокировало трафик.
Дмитрий
Самый простой способ диагностики, отключить запрещающие правила, если заработает - включать по одному и проверять что заблокировало трафик.
+1 и манглы то же если в прероутинге
no_name
Хочу запилить на микротике https://www.opennet.ru/tips/2999_iptables_block_tor.shtml
Sergey
Хочу запилить на микротике https://www.opennet.ru/tips/2999_iptables_block_tor.shtml
при большом потоке трафика, будет плохо. L7 не является работой микротика, соответственно разматывать портянку OSI до 7 уровня и обратно ему тяжеловато. Процессор не заточен под это.
no_name
мне для домашнего использования)
NIKOLYA
ладно друзья, спасибо, думаю надо ехать на объект, все брасывать и заного строить ... манглы есть, потому что там баланс двух провайдеров
no_name
3 тачки максимум
NIKOLYA
л7 оч грузит микрот, даже пара правил серьезно прибавляют нагрузку
no_name
ладно друзья, спасибо, думаю надо ехать на объект, все брасывать и заного строить ... манглы есть, потому что там баланс двух провайдеров
т.е. ты типа сделал 2 правила маршрутизации на эти 2 сетки? и теперь они не видят друг друга?
NIKOLYA
NIKOLYA
так настроен баланс
no_name
добавь еще одно правило сеть на сеть, может поможет
no_name
пойду найду микрот, было где то
no_name
А вспомнил
no_name
я там добавлял !на сеть вторую а во второй !на первую
no_name
попробуй прямо в своих правилах
no_name
у тебя по идее все уходит в твой gw, а там банан
NIKOLYA
еще раз)
NIKOLYA
я в адрес лист добавил сети
NIKOLYA
если сорс локал_нет и дст !лока_нет
NIKOLYA
это в маркроут
no_name
add action=mark-routing chain=prerouting connection-mark=to-isp1c \
new-routing-mark=to-isp1 passthrough=yes src-address=192.168.88.0/24 вот тут добавь dst-add=!вторая сеть
no_name
поидее пакетики не должны будут в принудиловку влетать в твою новую таблицу
no_name
я так понимаю что в одной сети компы не видят друг друга?
no_name
если они разделены на 2-х провайдеров
NIKOLYA
/ip firewall address-list
dd address=192.168.1.0/24 list=local_net
add address=192.168.50.0/24 list=local_net
/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=to-isp1c \
dst-address-list=!local_net new-routing-mark=to-isp1 passthrough=yes \
src-address-list=local_net
add action=mark-routing chain=prerouting connection-mark=to-isp2c \
dst-address-list=!local_net new-routing-mark=to-isp2 passthrough=yes \
src-address-list=local_net
no_name
работает?
no_name
сбрось connect
no_name
в фаере
NIKOLYA
в своей подсети железки видят друг друга, мне надо что бы из 50й ходило в 1ю ...
я б уже переделал все в одну сеть, но в 1й повесили железку управления светом и ее перенастроить нельзя
NIKOLYA
сек
no_name
у меня работало, правда сети я всегда называл по разному в данном случае и сети были разные )
no_name
можешь еще закинуть одним правилом свой ip в цепочку main
no_name
перед этими правилами
no_name
афк
NIKOLYA
не работает
NIKOLYA
макркроут мэин, если дстадр 192.168.1.9
no_name
Src
NIKOLYA
не
NIKOLYA
потерял комп на удаленке)
no_name
)
no_name
no_name
вот было так
no_name
работало
no_name
!admin был комп админа
NIKOLYA
ладно ... черт с ним ... там еще кто то ковырял ... спасибо за инфу ... буду сбрасывать все к чертям и заного ... хочу понять на каком этапе появляется проблема ... удаленно это ковырять ... щас могу все потерять и ехать далеко)
NIKOLYA
https://lenta.ru/news/2016/12/14/windowsnet/
NIKOLYA
вчера буквально отлавливали такого юзера
NIKOLYA
если кому интересно могу описать суть проблемы, долго распинаться просто)
Anibius
proxy-arp
NIKOLYA
19:26:27.979856 08:9e:01:1f:c7:75 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 192.168.1.1 tell 10.140.90.90, length 46
NIKOLYA
И все тополинки длинки и т.д. откликаются
NIKOLYA
И свитчи наши блочат по impb
Anibius
Для начала нужно занатить две подсети:
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.36.0/24 add action=masquerade chain=srcnat src-address=192.168.25.0/24
Для общественной сети натятся пакеты только на ван интерфейс. Для локальной - на все интерфейсы.
Есть два варианта решения проблемы:
/ip firewall mangle chain=prerouting action=mark-connection new-connection-mark=36 passthrough=yes dst-address=192.168.25.0/24 in-interface=bridge2 log=no log-prefix=""
помечаем пакеты с общественной подсети
/ip firewall filter chain=forward action=drop connection-mark=36 log=no log-prefix="" и баним их.
И второй вариант проще:
/ip firewall filter add action=drop chain=forward connection-state=new dst-address=192.168.25.0/24 src-address=192.168.36.0/24
Просто баним все новые пакеты, которые идут с общественной подсети, пакеты установившиеся пропускаем, а все пакеты с домашней подсети считаются установившимися так как прошли через правило ната.