пол года

вернись!

вернись!

ай похер.

https://pastebin.com/hNSJht5f ребят подскажите что ещё нужно минимально на файрволле для удаленного микротика 951 (будет l2tp до главного офиса, интернет - PPPOE от рт)

https://pastebin.com/hNSJht5f ребят подскажите что ещё нужно минимально на файрволле для удаленного микротика 951 (будет l2tp до главного офиса, интернет - PPPOE от рт)

Зоблокировать ICMP вестимо, сударь

Блин, новички не поймут

в чем прикол, на ПК с Вин7 две карты одна ясно инет, вторая для подключения всяких железок при подключении второй карты к порту mikrotik ПК уходит в ступор сам микротик через WAN подключен к сети через pppoe

Зоблокировать ICMP вестимо, сударь

однозначно

:) ок

в чем прикол, на ПК с Вин7 две карты одна ясно инет, вторая для подключения всяких железок при подключении второй карты к порту mikrotik ПК уходит в ступор сам микротик через WAN подключен к сети через pppoe

вы там петлю не устраиваете?

а ещё...у меня вот вопрос...6 правило...же по идее будет блокировать 53 порт?

нет, петли нет

а ещё...у меня вот вопрос...6 правило...же по идее будет блокировать 53 порт?

ээээ

оно у вас очень странное

ПК и wan порт МК в разных vlan

а как лучше дропать всё?

на микротике будет dhcp

а ещё...у меня вот вопрос...6 правило...же по идее будет блокировать 53 порт?

что вам надо заблокировать на 53 порту?

точнее ОТКУДА?

ну тут же самая больная тема)) входящий флуд на 53 порту

просто очень далеко будет микротик, не хотелось бы туда ездить каждый день

для тестов МК подключен к инету в пользовательской vlan и подключена приставка. Для того чтобы попасть на приставку подключаюсь к LAN порту МК у меня на карте статикой прописан 192.168.88.11

оставить и чтобы жил....год..хотя бы

ПК уходит в ступор

add action=drop chain=input dst-port=53 in-interface=$interface protocol=tcp src-address-list=!DNS add action=drop chain=input dst-port=53 in-interface=$interface protocol=udp src-address-list=!DNS

я просто смотрел что мне тут на месте приходит на input ...прямые на астер 5060, на мсскл 1433, вот как это всё получше дропнуть?

в адрес лист DNS вносите ip ваших dns серверов

так это только от днс флуда спасёт, а вдруг ещё какая-то фигня будет

может быть проще всё дропать?

внешнее

я просто смотрел что мне тут на месте приходит на input ...прямые на астер 5060, на мсскл 1433, вот как это всё получше дропнуть?

инпут на астер и мускул? Дам 100 рублей если раскажете как вы их на тике подняли

привет всем, а в терминологии mirkotik bridging=switching ?

100р?

проси больше

))) ну запросы же приходят...мне то как-то пофиг, но не лучше ли их дропать?

привет всем, а в терминологии mirkotik bridging=switching ?

бриджинг это свитч ЧЕРЕЗ ПРОЦЕСОР

есть еще мастерпорт=класическому свитчингу через чип комутации

))) ну запросы же приходят...мне то как-то пофиг, но не лучше ли их дропать?

так на ФОРВАРД же. а не ИНПУТ

на инпут

сначала НАТ, потом ФИЛЬТР. тоесть на момент проверки в фильтре пакет уже будет в цепочке форварда так как нат и кон. трек его переведут туда

есть еще мастерпорт=класическому свитчингу через чип комутации

спасибо добрый человек!

или вы о РАВе?

глядя на эти схемы всегда боюсь случайно призвать сатану

вызывай

ну зачем ты так со мной?

вторая снизу например

прям на астер порт долбит

Норм схема

или я что то не понимаю?

@erazel в общем это... как его теперь обратно в ад выгнать? Он стоит за спиной и что то от меня хочет.

майнить ?

ой не

у меня не получится

даже не знаю почему к вам лезут на эти порты. и что с них у вас отвечает вообще ?.

ничего не отвечает, там нет астера

даже не знаю почему к вам лезут на эти порты. и что с них у вас отвечает вообще ?.

Я думаю там прямой проброс на астера за нат)

это ребята ищут

аааа

интересна

Я думаю там прямой проброс на астера за нат)

тогда на момент фильтра это был бы форвард. разве что логи файрвола идут еще ДО контрака и ната

я на схеме не вижу точки логирования

тогда на момент фильтра это был бы форвард. разве что логи файрвола идут еще ДО контрака и ната

абсолютли

я ж кинул файрвол фильтр

там у 6 правило стоит log=yes

и вот это оттуда приходит

ну значит чего то я упустил ?, каюсь

ну...просто сказали что 6 слишком неправильно:)

но если его включить..вот такая фигня...сыплется

ясен фраг неправильно

для тестов МК подключен к инету в пользовательской vlan и подключена приставка. Для того чтобы попасть на приставку подключаюсь к LAN порту МК у меня на карте статикой прописан 192.168.88.11

может порт быть на МК битый, попробовал в другой патчкорд

вроде норм

уж очень категорически дропаете ?.

уж очень категорически дропаете ?.

+

хм

то есть пусть дальше долбят в 5060, 1433))

так то я ещё думаю отключить Neighbors

стоит ли это делать? ип-шник белый

ну типа мало ли по каких протоколах еще будете конектится. Ну тут две стороны палки. кто то дропает всё и разрешает только нужное, кто то дропает поименно. У первого подхода возможны нюансы когда что то новое будете подключать ?

а инпут по 5060 в принципе странен. Что то же отвечает от имени роутера ?

я конечно понимаю, что разные торренты сильно заругаются и другие upnp устройства, но хотелось бы максимально обезопасить

а если не отвечает то тем более странно - почему тогда сыпяться запросы , с чего они решили что там что то есть ?

хм..а к вам не сыпятся?

ну если цель максимальная безопасность то

может это я такой одаренный:)

Дропайте по con. state=new

хм..а к вам не сыпятся?

а чего ко не должно сыпаться если у меня на роутере астериск не стоит ?

ну если так, то конечно

но там точно нет астера, там есть ip телефон, но астериск в другом месте стоит

так то ещё миллионы 22, 23, 123, 8000, и половина портов которые я даже не знаю...

может сип. хелпер так отрабатывает ?

за правило 1 уже сказали? ин-мнтерфейс указать забыли ?

первое я отключил, и хотел уточнить, 6 меня полностью перекроет?

зачем 2 одинаковых правила