Евгений
Кальмар точно https не умеет фильтровать
kyysu
Кальмар - ???
Andrey
squid
Алексей
Кальмар точно https не умеет фильтровать
есть статейка на хабре, по ней пробовал, пока руки не дошли оттраблшутить :)
kyysu
Ок
Евгений
есть статейка на хабре, по ней пробовал, пока руки не дошли оттраблшутить :)
Статейки нужны для пинка мозгу. На реальном примере все уникально.
Алексей
Статейки нужны для пинка мозгу. На реальном примере все уникально.
но запустить его без ошибок я все-таки смог, просто не успел проверить на работоспособность, приехал тренер микротик к нам в город на mtcna и теперь я правлю свои нубские конфиги 😂
Евгений
К стати @moneron - как у разработчиков обстоят дела с Ebtables, в фаерволе будет, не?
Moneron 🇷🇺
К стати @moneron - как у разработчиков обстоят дела с Ebtables, в фаерволе будет, не?
Вот чего не знаю – того не знаю
Евгений
Хотелось бы L2 фильтровать
Moneron 🇷🇺
Так фильтруйте бриджовым фаерволом
Moneron 🇷🇺
Если его мало – то use ip firewall – и фильтруйте уже обычным фаерволом
Moneron 🇷🇺
Между портами мелкого свитча (не crs) в любом случае ничего не нафильтруете, только на бридже
Евгений
Так фильтруйте бриджовым фаерволом
Спасибо за ответ. Мне просто по душе феншуй, а не камасутра)))
Дмитрий
У микротика есть мастер настройки hotspot, в котором уже все запрещено кроме промо сайтов, в место стандартного окошка можно сделать предупреждение что работают только эти сайты... лито посмотреть цепочку этого спота и сделать так же, в итоге будут работать только явно прописанные сайты (обычно так кислород смысла нет перекрывать юзерам) но если у вас 1-10 сайтов то вариант
Дмитрий
В NAT можно задать только нужные IP этих сайтов и другие налиться не будут, тем более сейчас не нужно писать скрипты что бы IP в ACL добавить
Евгений
В NAT можно задать только нужные IP этих сайтов и другие налиться не будут, тем более сейчас не нужно писать скрипты что бы IP в ACL добавить
Реальный пример покажите. В вашем примере через VPN ограничение не будет работать.
Дмитрий
Будет, если vpn пул адресов из того же диапазона выдавать, там все на ip завязано
Дмитрий
И натинг
Евгений
Вопрос немного по другому стоит. К примеру я хитрожопый юзер и подключаюсь к впн.
Евгений
Ну и запрещать сайты по IP - бред...
Дмитрий
На какой порт ? Там же и по портам ограничение, попробуйте к хотспоту без доступа к интернету подключится и в евшему vpn
Евгений
На какой порт ? Там же и по портам ограничение, попробуйте к хотспоту без доступа к интернету подключится и в евшему vpn
Возможно в Ваших размышлениях есть рациональное зерно, но я его не увидел.
Алексей
может кто внятное объяснение дать action=masquerade по русски а то я что-то подзапутался совсем, кто-нибудь изложите русским текстом свое понимание экшена
Алексей
если не лень конечно :)
NIKOLYA
маскировать юзеров за натом роутера ... выходить во вне от имени роутера... я хз как еще)
Алексей
маскировать юзеров за натом роутера ... выходить во вне от имени роутера... я хз как еще)
это я и сам понимаю, просто когда-то впервые когда я настраивал микротик давно уже я читал мануалы и примеры где постоянно указывали в качестве аут интерфейса железный интерфейс, когда я указывал как в примерах у меня не было в локалке инета а когда указывал в виде исключения этого порта допустим eth-10 то работало
NIKOLYA
ерунда какая то
NIKOLYA
значит что то неправильно настраивали
NIKOLYA
я надеюсь все порты не в бридже были?
NIKOLYA
тут суть в чем ... один порт у вас занят провайдером, он живет отдельно сам по себе ... на него назначается или статика или получается по дхцп адрес (пптп пппое не важно), остальные порты вы бриджуете и назначаете уже локальный адрес на бридж для своей внетренней сети
Алексей
вообще в принципе ведь нужно указывать тот интерфейс за которым провайдер ведь так? в моем случае (ppoe) я указываю в качестве аут-интерфейса именно ppoe интерфейс все работает, но блин слетает доступ из локалки в сети которые находятся за pptp-тунелями на которые явно указан акцепт
NIKOLYA
включаете маскарад с аут интерфейсом именно провайтера, если пппое пптп и и т.д., то в аут интерфейс ставите их
NIKOLYA
"но блин слетает доступ из локалки в сети которые находятся за pptp-тунелями на которые явно указан акцепт" .... еще раз
NIKOLYA
какие тунели
NIKOLYA
из локальной сети роутера во вне куда то есть тунели?
Anibius
6.38.3 кто пробывал уже?
digic
Привет. Что посоветуете из wifi в офис?
Moneron 🇷🇺
Фигасе, через версию перескочили
ildar
What's new in 6.38.3 (2017-Feb-07 09:52):
Moneron 🇷🇺
*) wireless - added "station-roaming" setting;
Moneron 🇷🇺
Интересно, что это…
digic
кв 300 , но много комнат. Стены хз из чего но сигнал далеко не уходит. Пока есть необходимость в покрытии нескольких кабинетов, но в дальнейшем возвожно расширение
digic
смотрю в сторону hAP AC Lite
Moneron 🇷🇺
Хороший выбор
digic
так и думаю. что под контроллер взять
digic
hex&
Moneron 🇷🇺
Одобряю :)
digic
и MikroTik POE RBGPOE
ildar
в NAT появились динамические правила от скайпа. где отключить эту возможность?)) помню тренер нам показал, но забыл уже
Moneron 🇷🇺
У самого дома стоит связка hap ac lite + hex
Moneron 🇷🇺
Алексей
4 2011-х один головной на нем pptp-сервер, в локалке за головным сижу я :) остальные три 2011-х pptp клиентами цепляются к головному, на головном прописаны маршруты в эти удаленные сети, в фаерволле в самом низу дропающее из локалки все обращения в эти три сети, над дропами висят три правила разрешающие моему айпи акцепт в эти три сети, со всех сторон всё пингуется и с компа в удаленные сетки и удаленные интерфейсы в-общем все. и теперь самое главное: на головном роутере как бы два свитчпорта 1-5 и 6-10, с первого по 1 порт мастер для 2-3-4-го, естественно 1 мастер-порт в бридже с wlan, если я аутпорт маскарадинга вешаю на !sfp интернет работает в локалке и маршруты в удаленные сети работают.
Алексей
а если вешаю на аутпорт ppoe интерфейс то инетработает а маршруты нет
Алексей
в удаленные сети
Moneron 🇷🇺
а если вешаю на аутпорт ppoe интерфейс то инетработает а маршруты нет
У Вас с удалённых сетей скорее всего нет обратного маршрута
Moneron 🇷🇺
а как думаете с MikroTik POE RBGPOE и бп от точек нормально будет?
Если хотите завязать на poe, то посмотрите в сторону hex poe
Алексей
а как тогда работает до смены аут порта?
Евгений
Евгений
Настройка репитора только в новой версии появилась?
Moneron 🇷🇺
а как думаете с MikroTik POE RBGPOE и бп от точек нормально будет?
Либо, как вариант, hex+rb260gsp+hap ac lite
Дмитрий
Вопрос немного по другому стоит. К примеру я хитрожопый юзер и подключаюсь к впн.
VPN можно заблочить, сложно будет только с OpenVPN и web-proxy, так как они использовать могут и 443 и 80 порты, если уж совсем наглухо перекрывать все то только Интранет оставить а некоторые сайты по IP приспускать именно по IP а не L7 !!! Поскольку сам DNS лишь логичная приблуда для то что не запоминать адреса - других известных способов в мире нет :)
Дмитрий
Ммм даже крутые Шлюзы от ddos такие как Arbor оперирует как раз IP адресами (кроме самих флагов сессий, их частотой и пр)
Oleg
и Winbox 3.11
NIKOLYA
Репитор с капсом не подружились?