Доказательства некорректности конфигурации?

Да всё у тебя ок. Работает и ладно. Наступишь на грабли - они будут твои. Научишь кого-то делать так же - тебе с этим жить (или ему).

Не наступлю. Ибо я знаю, что (и главное - зачем) сделано.

Не наступлю. Ибо я знаю, что (и главное - зачем) сделано.

почему ты так уверен что никогда не ошибаешься? Откуда это? Научи

Оттуда, что я сначала изучаю, как система работает, а лишь потом приступаю к настройке.

Оттуда, что я сначала изучаю, как система работает, а лишь потом приступаю к настройке.

это не ответ на вопрос. Но в целом не важно.

Всем пока. Я работать

Следовательно, я прекрасно знаю, что у меня сейчас на негровтыке зарезан multicast полностью. Если мне когда-то понадобится такой траф - я просто выключу соответствующую запись в address-list.

это не ответ на вопрос. Но в целом не важно.

Это как раз - прямой ответ на твой вопрос.

Это как раз - прямой ответ на твой вопрос.

"Вопрос: почему ты уверен что не ошибёшься" "Ответ:когда я что-то делаю я что-то вначале изучаю". А все остальные, очевидно как в гифке выше по кнопкам бьют и всё.

Блин я не могу. Я убежал

"Вопрос: почему ты уверен что не ошибёшься" "Ответ:когда я что-то делаю я что-то вначале изучаю". А все остальные, очевидно как в гифке выше по кнопкам бьют и всё.

Совершенно верно. Многие так и делают - например, пытаются настраивать межсетевой экран, не изучив перед этим его документацию и, что не менее важно, packet flow.

И в итоге у них что-то вроде: chain=forward in-interface=eth-GW protocol=icmp icmp-type=3 chain=forward connection-state=established,related Хотя первое правило нахуй не нужно, ибо такие пакеты обработает второе.

да успакойся уже, батя фаерволла

уже все ушли

Ты это кому?

стене блять

А, ну успехов.

интересный театр получился =) а насколько необходимо мудрить с серыми сетями на WAN интерфейсах? там выше что-то мелькнуло на этот счет

Я всё ещё жду аргументированных и обоснованных замечаний по поводу реальной конфигурации.

"Наступишь на грабли" - бессмысленная хуета и не по существу.

интересный театр получился =) а насколько необходимо мудрить с серыми сетями на WAN интерфейсах? там выше что-то мелькнуло на этот счет

Ну, вот у меня 4 часа аптайма и 35к дропнутых пакетов уже набежало.

Ну, вот у меня 4 часа аптайма и 35к дропнутых пакетов уже набежало.

значит смысл есть. а во всех случаях или только в определенных? например когда у тебя от прова серая сеть и ты за его натом?

Если я подключусь к провайдеру, который мне выдаст не только реалку, а и серую сеть (или только серую) - я просто сделаю /ip firewall address list set enabled=no where address=XXX

Точно так же, как я сделал для 192.168.0/16, которая у меня живёт внутри.

Тут позиция такая - зачем эти пакеты вообще принимать? Зачем добавлять лишнюю работу для conntrack?

хотя можно же посмотреть, чего это я... =)

у меня за 6 дней 3 пакета

У тебя же другая сеть и другая конфигурация.

я правильно понимаю, что зря потратил время на это?

Откуда же мне знать?

я правильно понимаю, что зря потратил время на это?

зато ты теперь умеешь в network secutiry

зато ты теперь умеешь в network secutiry

почему-то мне эта фраза с оттенком сарказма читается =)

почему-то мне эта фраза с оттенком сарказма читается =)

Ты очень проницательный, друг мой)

Ты очень проницательный, друг мой)

я догадывался, но стеснялся спросить =)

я догадывался, но стеснялся спросить =)

еще и догадливый)

Теперь можешь идти резать всё ненужное. И через месяц скинь статистику по каунтам)

Но это я уже иронизирую)

кстати я это не сам выдумал... послушал тренера

Теперь можешь идти резать всё ненужное. И через месяц скинь статистику по каунтам)

я icmp не режу =)

я icmp не режу =)

Я тоже.

Запомните уже: нужно разрешать то что нужно, а не резать!

Запомните уже: нужно разрешать то что нужно, а не резать!

Именно так я и делаю всегда. За исключением блокировки немаршрутизируемых сетей.

Запомните уже: нужно разрешать то что нужно, а не резать!

А если нужно разрешить резать?

зато ты теперь умеешь в network secutiry

Нетворк сесурити на уровне l3 l4, разрешит запретить , это прошлый век что ipfw что netfilter, сейчас прогресс утопал уже давно, гордиться что на домашнем роуте все позапрещал))

Нетворк сесурити на уровне l3 l4, разрешит запретить , это прошлый век что ipfw что netfilter, сейчас прогресс утопал уже давно, гордиться что на домашнем роуте все позапрещал))

это мы еще за L7 не начали тереть

это мы еще за L7 не начали тереть

У меня L7 используется для DNS-форвардинга, ибо по-другому негровтык не умеет. ?

У меня L7 используется для DNS-форвардинга, ибо по-другому негровтык не умеет. ?

да мне как то насрать, что ты там делаешь, если честно)

да мне как то насрать, что ты там делаешь, если честно)

Можно поплакать?

У меня L7 используется для DNS-форвардинга, ибо по-другому негровтык не умеет. ?

На микротик регулярные выражения)

Можно поплакать?

даже подрочить

У меня L7 используется для DNS-форвардинга, ибо по-другому негровтык не умеет. ?

Держи нас вкурсе

На микротик регулярные выражения)

Ага. И я - не первый, кто просит прибалтов запилить что-то типа dnsmasq хотя бы.

Ага. И я - не первый, кто просит прибалтов запилить что-то типа dnsmasq хотя бы.

но им на тебя срать, как и всем остальным.

В рос7 будет

Вот такой ты ничего не значащий и никому не нужный...

но им на тебя срать, как и всем остальным.

Можно ещё раз поплакать?

В рос7 будет

Так толсто, что даже тонко.

ребят, как подробный лог включить wireless

Ага. И я - не первый, кто просит прибалтов запилить что-то типа dnsmasq хотя бы.

Потому что для иб используются совсем другие средства

ERROR: S client not available

ребят, как подробный лог включить wireless

system logging добавь топик в memory

Потому что для иб используются совсем другие средства

Это - не ИБ. В данном случае это возможность юзать 1.1.1.1 как основной DNS-сервер, а зону хуйпизда.джигурда спрашивать у 2.2.2.2.

ребят, как подробный лог включить wireless

утони если написал непонятно

Это - не ИБ. В данном случае это возможность юзать 1.1.1.1 как основной DNS-сервер, а зону хуйпизда.джигурда спрашивать у 2.2.2.2.

Ты походу не понимаешь вообще просто я говорю ) иди дальше нетфилтер настраивай

Про что *

сделал, спаибо

спасибо

Ты походу не понимаешь вообще просто я говорю ) иди дальше нетфилтер настраивай

Нет, это ты не понимаешь, что другим способом форвардинг DNS-зон не решается, кроме как L7-фильтрацией.

сделал, спаибо

докинь в тоже правило !debug топик, чтобы совсем хардкор не видеть

надо еще на микротик докеры чтобы запилили

Слишком толсто. Попробуй тоньше. Ну а вообще - metarouter же есть.

так не страдай а поставь себе днсмаск в метароутере

Нет нужды. Задача DNS-форвардинга уже решена и работает стабильно. Кроме того, я всё подумываю о hAP ac, а там всего 16 метров флэша - прошивка еле влезает.

что там надо подкрутить чтоб котик с яблоком работал

что там надо подкрутить чтоб котик с яблоком работал

Ничего

Оно просто не будет нормально работать)

там нужен четкий танец с бубном

но ман по данному танцу остался на работке

докинь в тоже правило !debug топик, чтобы совсем хардкор не видеть

вроде дебаг по дефолту не лезет. его надо спецом добавлять в правило

вроде дебаг по дефолту не лезет. его надо спецом добавлять в правило

у меня не так, но у меня это в контексте отправки в syslog потому я на автомате всегда дебаг обрезаю.

вроде дебаг по дефолту не лезет. его надо спецом добавлять в правило

давно локальные логи не юзаю

во

вспомнил комбо

вомбо

поделись с народом

вспомнил комбо

так запили на вику

видос?)

видос?)

имхо лучше в виде статьи. там и другие смогут дополнить

я всего лишь снял галку с wpa2 eap

и wmm включил

и шо?

подключило таки девайс?