Вокруг одни долбаебы, а Антон наблюдательный и дружит с логикой

chain=input action=accept connection-state=established,related

Fragmentation needed and DF bit is set

Антон, покинь нас, ты уныл

chain=input action=accept connection-state=established,related

тааак, и как в такой ситуации придёт ВХОДЯЩИЙ НОВЫЙ ICMP пакет?

И вот можно не дрочить на это и просто отстать от ICMP

Так дрочишь на него ты. А я просто делаю: /ip firewall filter add chain=input action=accept connection-state=established,related add chain=forward action=accept connection-state=established,related В общем случае из разрешающих правил не нужно более ничего.

тааак, и как в такой ситуации придёт ВХОДЯЩИЙ НОВЫЙ ICMP пакет?

Входящий НОВЫЙ не пройдёт, а нахуя он? Главное, чтобы входящие, СВЯЗАННЫЕ проходили.

Fragmentation needed and DF bit is set

Ну и к чему это?

Я всё. Ребят, у меня вопросов больше нет. Оценочный размер сети уменьшаю до 10 компов.

Ну и к чему это?

про фрагментацию слышал,?

Я прекрасно знаю, что это. И? Что ты хотел показать мне этим сообщением?

Что я не знаю, как работает Path MTU discovery? Прекрасно знаю.

что другое оборудование от тика тоже может что то хотеть ?

Я всё. Ребят, у меня вопросов больше нет. Оценочный размер сети уменьшаю до 10 компов.

Погоди, щас сузим до одного роутера зуксел дома

что другое оборудование от тика тоже может что то хотеть ?

"Вот это поворот!" =)

"Вот это поворот!" =)

держи стикер

что другое оборудование от тика тоже может что то хотеть ?

Например?

ну а чо, мне что ли нельзя поучастовать в ваших холиварах?

Что я не знаю, как работает Path MTU discovery? Прекрасно знаю.

и как?

пришел с пянки, вижу всё пропустил, надо таки поддержать огонь диспута ?

Это памятник пылесборнику)

Погодите. Называет микротик "Негротиком". Значит не доволен им. Не доволен микротиком - потому что тот ПЛОХО РАБОТАЕТ. Плохо работает - ЗНАЧИТ ЧТО-ТО НЕ ТАК РАБОТАЕТ. Перекрыт ВХОДЯЩИЙ ICMP... Где связь?

Железо оно тупое. оно делает то что ему сказали делать, а не то что от него хотят ?

Погодите. Называет микротик "Негротиком". Значит не доволен им. Не доволен микротиком - потому что тот ПЛОХО РАБОТАЕТ. Плохо работает - ЗНАЧИТ ЧТО-ТО НЕ ТАК РАБОТАЕТ. Перекрыт ВХОДЯЩИЙ ICMP... Где связь?

Нет, так я его не называю. Кстати, УМВР.

https://ru.wikipedia.org/wiki/ICMP

Нет, так я его не называю. Кстати, УМВР.

уф. Точно. Тогда моя теория рассыпалась. Сорян

и как?

Ставит максимальный допустимый размер и DF-бит, шлёт пакет. Если получает в ответ ICMP type 3 code 4 - уменьшает размер и так до тех пор, пока не пройдёт нормально. И?

я так же за всем этим наблюдаю :)

ICMP-сообщения (тип 12) генерируются при нахождении ошибок в заголовке IP-пакета (за исключением самих ICMP-пакетов, дабы не привести к бесконечно растущему потоку ICMP-сообщений об ICMP-сообщениях). ICMP-сообщения (тип 3) генерируются маршрутизатором при отсутствии маршрута к адресату. ICMP-сообщения с типом 5 используются маршрутизаторами для обновления записей в таблице маршрутизации отправителя. ICMP-сообщения с типом 4 используются получателем (или маршрутизатором) для управления скоростью отправки сообщений отправителем.

Антон, генерировать такие пакеты можешь не только ты но и сосед ?

и , ИМХО, они будут нифига не рилейтед

и не естеблишед

и там ещё есть про TTL и про недостижимость и куча всего и всё это не естеблишед

а нью инпут

я так же за всем этим наблюдаю :)

ну ты про ICMP понял, да?)

и , ИМХО, они будут нифига не рилейтед

Гы-гы. https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Summary related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection

Говорю же - пиздуйте учить мануал по netfilter, в частности около conntrack и его хелперов. ?

Гы-гы. https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Summary related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection

ICMP errors не смутило?

да шо мы холиварим

ICMP errors не смутило?

"Such as"

да шо мы холиварим

здорово, правда?)

антон, ставь инпут для icmp и екшн акцепт и посмотри на щетчик через сутки

антон, ставь инпут для icmp и екшн акцепт и посмотри на щетчик через сутки

не не, он так не сможет. Пусть ставит ДРОП

http://www.iptables.info/en/connection-state.html

антон, ставь инпут для icmp и екшн акцепт и посмотри на щетчик через сутки

Зачем? У меня необходимый ICMP ходит через chain={input,forward} connection-state=established,related.

The ICMP types we are talking about are Echo request and reply, Timestamp request and reply, Information request and reply and finally Address mask request and reply.

таак?

где подвох?

Зачем? У меня необходимый ICMP ходит через chain={input,forward} connection-state=established,related.

добавь chain=input connection-state=new action=drop log=yes

И ничего не изменится, т.к. новые соединения и так блокируются дефолтным правилом.

Зачем? У меня необходимый ICMP ходит через chain={input,forward} connection-state=established,related.

ну я к тому что бы наглядно было видно есть ли инпут не подпадающий под рилейтед ?. ну или на правиле дропа ICMP щетчик смотреть ?

И ничего не изменится, т.к. новые соединения и так блокируются дефолтным правилом.

но ты не видишь их количество

ну я к тому что бы наглядно было видно есть ли инпут не подпадающий под рилейтед ?. ну или на правиле дропа ICMP щетчик смотреть ?

Есть такой input. Но вот он как раз и не нужен в случае, когда негровтык - шлюз в инет.

но ты не видишь их количество

Вижу. В дефолтном правиле.

Вижу. В дефолтном правиле.

эээм, там все пакеты что были дроп, а не только ICMP или я не прав?

Ну и? Мне насрать, сколько из них - ICMP, а сколько - другие протоколы.

Расходимся.

Ну и? Мне насрать, сколько из них - ICMP, а сколько - другие протоколы.

Если насрать тебе и ты считаешь, что это мусор и тебе кажется что они никому не нужны. То. Открою тебе маленький секрет. Но он не связан с правильным написанием слова дурачёк или посыланием пиздовать низнакомых людей. Секрет такой: ЭТО КАЖЕТСЯ ТОЛЬКО ТЕБЕ.

А вот и нет.

Если насрать тебе и ты считаешь, что это мусор и тебе кажется что они никому не нужны. То. Открою тебе маленький секрет. Но он не связан с правильным написанием слова дурачёк или посыланием пиздовать низнакомых людей. Секрет такой: ЭТО КАЖЕТСЯ ТОЛЬКО ТЕБЕ.

он успешный админ, блокирующий весь ицмп, а чего добился ты? :D

ой, простите, охуенный кусок icmp

^___^

ERROR: S client not available

В данном случае, повторюсь, рассматривается наиболее популярная конфигурация: есть негровтык, он делает NAT и выпускает кого-то в инет. В такой конфигурации любые соединения должны быть инициированы со стороны локальной сети.

Есть такой input. Но вот он как раз и не нужен в случае, когда негровтык - шлюз в инет.

нету понятия шлюз в инетернет, есть шлюз между сетями. Тоесть обычная работа маршрутизатора. А раз есть ICMP значит он для чего то же нужен. Не просто так же его соседи шлют.

соседи не нужны!

:D

нету понятия шлюз в инетернет, есть шлюз между сетями. Тоесть обычная работа маршрутизатора. А раз есть ICMP значит он для чего то же нужен. Не просто так же его соседи шлют.

Блядь, сколько раз писать? У меня ICMP ходит через RELATED, блджд.

ты же говорил что под дроп по инупуту часть испмп подпадает. значит что то же тебе шлют. И шлют не потому что ЗАХОТЕЛОСЬ. у железяк вообще нет такого критерия - захотелось. раз послали значит что то произошло.

Блядь, сколько раз писать? У меня ICMP ходит через RELATED, блджд.

покажи скрин DROP правила. Ну так чист. Посмотреть сколько АТАК ты отразил =)

При чём тут "АТАКИ"?

> ip firewall raw print stats where action=drop; ip firewall filter print stats where action=drop Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 prerouting drop 15 544 47 1 prerouting drop 1 137 882 23 854 2 prerouting drop 0 0 3 output drop 0 0 4 output drop 10 820 32 5 output drop 0 0 Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 input drop 23 503 84 1 input drop 18 325 288 2 input drop 0 0 3 forward drop 8 697 156 4 forward drop 184 3 5 forward drop 0 0

аптайм?

Аптайм - 3 часа.

Сужаю оценку до этой конкретной железки. Причём она тупо домашний шлюз.

Конкретно эта железка - да, мой домашний шлюз, и?

так, чисто чтобы сравнить

114к

на инпут

600 на форвард

аптайм 4 дня

И что?

не не. Ничего. Всё ок.

И что?

Зачем ты сделал этот скрин, зачем отправил его сюда? Что ты хочешь сравнить?

Зачем ты сделал этот скрин, зачем отправил его сюда? Что ты хочешь сравнить?

Я тебе реплаил? Ты чего. Я ребятам пишу. Чату.

А я что - не часть этого чата?

Мне теперь 648 раз извинится чтоли?

Мне теперь 648 раз извинится чтоли?

и перед самим собой

и перед самим собой

ок 649 =)

Мне теперь 648 раз извинится чтоли?

К чему это вообще?

ок 649 =)

Начинай