а можно для тех кто в танке разъяснить?

Короче чтоб боты ничего не слали, презервативы натягиваешь на микрот

Точно, сейчас попробую

Кстати, правило на 53/tcp тоже много срезало за эти 3 дня?

Нет

Короче чтоб боты ничего не слали, презервативы натягиваешь на микрот

а статически настроенные компы причем тут?

20,8 Кб

Короче чтоб боты ничего не слали, презервативы натягиваешь на микрот

Не надо дефолтный конфиг фаервола трогать, если не понимаешь принципы его работы :)

Дефолтный конфиг включает красивое последнее правило «все, кроме разрешённого - в дроп»

а статически настроенные компы причем тут?

Я просто понял что это правило DNS resolv блокирует, и на тех компах DNS перестает работать

/ip firewall filter add action=drop chain=input dst-port=53 protocol=tcp add action=drop chain=input dst-port=53 protocol=udp

In int указать не? Серверы 1с не на прямую же с входящего инт

правильно понял и диагностируется это пингом

?

Я конечно ньюби :) но мне кажется что правильнее указать интерфейс

Я конечно ньюби :) но мне кажется что правильнее указать интерфейс

Все верно.

Я конечно ньюби :) но мне кажется что правильнее указать интерфейс

Все верно.

Иногда забываешь про интерфейс когда на радостях узнаешь что можно заблокировать

Сегодня сброшу счетчик

Завтра гляну сколько там накрутило

Все верно.

У меня в raw указан дроп. Мне тут подсказали что так будет вернее

Мужики у меня примерно вот такая сеть

Извращенная

ух

Хочу дальше извращаться

может нинада?

Что если я на каждом mkrtk поставлю DHCP?

У меня в raw указан дроп. Мне тут подсказали что так будет вернее

Да, у меня тоже. Ибо тогда пакет не разбирается, не тратятся драгоценные такты проца

Да, у меня тоже. Ибо тогда пакет не разбирается, не тратятся драгоценные такты проца

:) буду знать! Я ток учусь

Короче идея такая:

Что если я на каждом mkrtk поставлю DHCP?

ставь, всё норм и ipsec подними

прям все дропы в raw?

@ZZToP ммм?

Не разделяя сеть, чтоб все были в одной подсети и 5 штук DHCP каждый работает в своем домике

Такое возможно? Или глюки начнутся

Без ipsec

Или я сам глючу?

прям все дропы в raw?

Кстати да. Интересно на счёт дроп. У меня ток днс 53 дроп там

прям все дропы в raw?

Только 53,123 udp на ether-wan

Только 53,123 udp на ether-wan

тср не? 123 че блокирует?

тср не? 123 че блокирует?

Там srcip не подменить толком, амплификейшн не катит. 123 - Ntp amplification блочит.

Там srcip не подменить толком, амплификейшн не катит. 123 - Ntp amplification блочит.

Для меня сча примерно тоже самое, что для Вас посмотреть на однолинейную схему электросети среднего города

?

Там srcip не подменить толком, амплификейшн не катит. 123 - Ntp amplification блочит.

0 chain=prerouting action=drop in-interface=Beeline dst-port=53 log=no log-prefix="" protocol=udp src-address-list=!DNS 1 chain=prerouting action=drop in-interface=Beeline dst-port=53 log=no log-prefix="" protocol=tcp src-address-list=!DNS

оно же?

оно же?

Да. На втором счётчик какой?

или порт не dst, а src?

Да. На втором счётчик какой?

по нулям пока оба

или порт не dst, а src?

Дст

А если я в мир смотрю по vpn, мне in.interface указывать этот vpn или все же eth, на котором поднят vpn?

VPN скорее всего

Впн

значит я не совсем дурак

Неужели я правильно ответил

Неужели я правильно ответил

добро пожаловать в клуб знатоков

Хоть что-то в голове сохраняется

А то думал систему переустановить

Скр адрес лист для чего указан?

Все кроме адрес листа DNS ? Свои сервера ?

Там список используемых днс-серверов, но он не нужен. Запрос-то к ним от микрота не с 53 порта идёт

Вот если с локальных днс зону во внешний мир трансферишь - тогда нужно. А так нет.

Да. На втором счётчик какой?

Тср : 120б; 3 пакета :)

Ну вот. На тсп амплификейнш не построить.

Я в замешательстве

Господа

Впн до провайдера есть

Маршруты есть

Впн включён

Но Инета херушки

В фв все отключено

Куда копать?

Пинги с микрота до восьмёрок гугловских идут?

Смотри нет у тебя связности или ДНС

Причём с микротика же пингую vpn шлюз по доменному имени - хер

Но впн поднят

оО?

Пинги с микрота до восьмёрок гугловских идут?

Нет

Да, у меня тоже. Ибо тогда пакет не разбирается, не тратятся драгоценные такты проца

чоза raw?

/ip firewall filter add action=drop chain=input dst-port=53 protocol=tcp add action=drop chain=input dst-port=53 protocol=udp

Лол

чоза raw?

В вики написано

Я за рулём

Я за рулём

только хотел написать “а поговорить?”

сразу “пшёл в вики отседа”

Где настраивается профиль для l2tp клиента?

Нашёл

вспомнил что я вчера ковырял)

не ходите девки в красноярск гулять. +35 на улице. серверная с +23 - просто рай на земле

О, родной город...

куда переехал?

Сначала в 13 лет в 1997-м родители утащили в Сочи

А в январе 2015-го оттуда свалил в Москву

хорошие родители

Сочи - болото для пенсионеров.

думаю для школоты тоже, а потом можно в универ в другой город

Нехуй там делать. Учиться негде, работать негде, зарплаты низкие, пришёл работать админом - сразу потолок карьеры.

Короче для неамбициозных город

Денег-то заработать везде можно, но развиваться в Сочи почти нереально