Ребята вопрос по ftp. В фаерволл открыты 21,20 порты. Закрыты все нестандартные порты для пользовптелей локалки на ружу, и есть адресслист,у которых все открыто. Если комп находится в этом адресслист то подключиться на внешний фтп сервер в пассивном режиме без проблем получается, но как мне разрешить для простых пользователей подключаться на внешние ftp... Каждому открываеть все порты не хочется, а по логам каждый раз новые порты запрашивает ftp сервер

почитай про активный и пассивный режимы фтп, и включи хелпер для фтп.

Это я почитал, что сначала по стандартным портам происходит согласование, а обмен по портам 1024-64500

Что за хелпер фтр??

точно? https://github.com/ValdikSS/blockcheck

http://screencloud.net/v/vYUWb

железно

Что за хелпер фтр??

ip-firewal-service ports

для фтп коннтрак-хелпер палит команды, которыми обмениваются клиент и сервер, и при необходимости создаёт трансляции и открывает порты для дата-коннектов.

@fluidpanda так что проблем нет с этим делом

Flags: X - disabled, I - invalid # NAME PORTS 0 ftp 21 1 tftp 69

включено, не помогает.

@sashik46 так что достаточно его влючить в service-ports, а так же разрешить соединения с состоянием related.

для большей точности ещё можно отдельное правило разрешить с указанным connection-type

Flags: X - disabled, I - invalid # NAME PORTS 0 ftp 21 1 tftp 69

ой

[support@KARAM-44-Central] /ip firewall filter> prin Flags: X - disabled, I - invalid, D - dynamic 0 ;;; xxx"Block_wan_list" chain=forward action=drop dst-address=!192.168.0.0/22 src-address-list=Block_wan_list log=no log-prefix="" 1 ;;; =>Allow Established connections chain=input action=accept connection-state=established log=no log-prefix="" 2 ;;; => Allow related connections chain=forward action=accept connection-state=related log=no log-prefix=""

я бы ещё попробовал снять трафик, а так же понаблюдать за вкладкой connections - там должны появляться соединения. возможно в мк нужно отдельно создать правило с connection-type = ftp или как оно там.

для большей точности ещё можно отдельное правило разрешить с указанным connection-type

сейчас gjghj,e.

попробую*

ребятки спасиб!!! connection-type -ftp помог.....

все мозги себе сломал

ребятки спасиб!!! connection-type -ftp помог.....

you're welcome

блин, какого хрена у меня сАР мак адрес свой меняет... соответственно в static leases фигня получается

как он может менять свой МАС? ?

может кто то в него залез и дурью мается?

может кто то в него залез и дурью мается?

исключено

как он может менять свой МАС? ?

в leases отметил его как static, сча смотрю, появился другой как бы клиент с дургиим ip, и почти таким же маком. на одну последнюю букву различие

при чем на самой сАР на интерфейсе показывает верный мак

это его эзорнет и его вайролес

они отличаются на букву

это его эзорнет и его вайролес

почему он тогда IP меняет?

сча его обновил. он вернулся на свой статик айпи. посмотрим как он дальше себя вести будет)

офтопку чуток

народ кто знаком с жидким стеклом и гидроизоляцией? нужна помосч плз

кисточкой мазал и полдня сушил

или день, не помню

или день, не помню

2 дня сушил, 1 трай и водой все смыло к хренам

Я хочу что бы при включенном кэширующем DNS сервере на микротике, он не резолвил адреса с билайновских днс, а только с тех которые я ему указал

я в микротиках не силен, но еслиб у меня стояла такая задача, яб тупо поставил 2 микрота. 1 подключался бы к впн билайна, вторым (который за первым) раздавал интернет пользователям

не знаю можно ли так реализовать на 1 железке, но на двух вполне

я в микротиках не силен, но еслиб у меня стояла такая задача, яб тупо поставил 2 микрота. 1 подключался бы к впн билайна, вторым (который за первым) раздавал интернет пользователям

?

А ты хорош

Вот это костыли...

но это очень костыльно)

почему?

не знаю можно ли так реализовать на 1 железке, но на двух вполне

можно еще метароутер поднять ?

а, ну да точно. метароутер

Незачем.

Реализуемо.

На одном

так если это костыли, то вы через эти костыли ежедневно костыляете. уверен у провайдера реализовано именно через такие костыли

На одном

смелое заявление

я в микротиках не силен, но еслиб у меня стояла такая задача, яб тупо поставил 2 микрота. 1 подключался бы к впн билайна, вторым (который за первым) раздавал интернет пользователям

сааб?

что ха кейс?

что ха кейс?

есть билайн

dhcp клиент получает DNS от микротика, что бы резолвить tp.internet.beeline.ru для l2tp подключения

И выступает кеширующим DNS сервером для локальных клиентов

И при днс запросах обращается на DNS билайна

И ты тем не менее не хочешь использовать билайновский DNS для резолва из локалки

А я хочу что бы на то что я ему укажу

А я хочу что бы на то что я ему укажу

чем обычный нат не устаривает?

чем обычный нат не устаривает?

не понял

ну клиентам указан в кач-ве днс микротик

чем обычный нат не устаривает?

Кирилл, не спеши.

Смотри там ситуация:

а микротик лезет в DNS провайдера

Кирилл, не спеши.

это еще не конец?

1. Микрот по DHCP получает от билайна серый адрес свой и ДНСы

Скринами могу

2. С помощью этих ДНСов резолвится tp.internet.beeline.ru в адрес, который для каждого блин района города свой

3. К этому адресу поднимается L2TP

Дальше микрот НАТит

Сраный билайн))

Человек хочет использовать другие ДНС-серверы для клиентов

1. Микрот по DHCP получает от билайна серый адрес свой и ДНСы

http://screencloud.net/v/uK0L6

При этом используя кэш ДНС микротика

2. С помощью этих ДНСов резолвится tp.internet.beeline.ru в адрес, который для каждого блин района города свой

http://screencloud.net/v/rgxpc

При этом используя кэш ДНС микротика

http://screencloud.net/v/e3U7B

т.е. клиентам хочет отдавать в качестве DNSа адрес микротика

и хочу что бы вот тех двух что внизу не было

Но чтобы сам микрот после подключения не использовал DNS билайна как основные

я понял, сейчас прикину

а впн долго держиться? как часто реконекты?

а впн долго держиться? как часто реконекты?

тут бывают проблемы с электричеством и всегда по-разному

Я бы на нетвотч вешал следующий скрипт: 1. Если падает - включаем Use Peer DNS в DHCP-клиенте 2. С этими DNSами резолвим tp.internet.beeline.ru и пишем адрес в connect-to L2TP-клиента 3. Отключаем Use peer DNS у DHCP-клиента 4. Юзаем свои.

И вот не хочется что бы когда меня рядом нет, микротик не смог отрезолвить адрес vpn шлюза

и не поднять интернет

но вот на п.2 я споткнулся

dc` ghjot

не могу найти как сделать nslookup в консоли микрота

всё проще

в дхцп клиенте есть поел script

оттуда можно выцапить dns сервера

оттуда можно выцапить dns сервера

вот. точно, забыл.

пихаем их в глобальное огружение

и по крону резольвим имя сервера, и обновляем статическую запись в dns

О, всё.