сорян сорян

я думал вы спрашиваете есть ли свищ

Про параметр

Время жизни записи mac:port в fdb/cam

Я про этот unicast-FDB-timeout, это же и есть тот самый aging time, да?

Ага

Но термин "cam" более широкий, включает multicast. У микротиковского свитча с мультикастом плохо, потому рулится только Unicast-FDB

Хотя, может по мультикасту где-то и есть настройка, да я её не нашел.

Хотя, может по мультикасту где-то и есть настройка, да я её не нашел.

в 6.41rc есть igmp-snooping

на части оборудования hardware

Такой вопрос, теоретический, если, допустим, перетыкнуть устройство из порта в другой порт свитча, то запись о том, что в старый порт был воткнут MAC этого устройства сама удалится (это устройство сразу же отправило какой-либо пакет на порт свитча), или будут две записи с одним маком на двух портах? Спрашиваю не конкретно про микротик, а вообще.

Такой вопрос, теоретический, если, допустим, перетыкнуть устройство из порта в другой порт свитча, то запись о том, что в старый порт был воткнут MAC этого устройства сама удалится (это устройство сразу же отправило какой-либо пакет на порт свитча), или будут две записи с одним маком на двух портах? Спрашиваю не конкретно про микротик, а вообще.

если порт гаснет, то маки за этим портом чистятся

Такой вопрос, теоретический, если, допустим, перетыкнуть устройство из порта в другой порт свитча, то запись о том, что в старый порт был воткнут MAC этого устройства сама удалится (это устройство сразу же отправило какой-либо пакет на порт свитча), или будут две записи с одним маком на двух портах? Спрашиваю не конкретно про микротик, а вообще.

кроме гашения порта, если МАК появляется на другом порту, то на всех остальных он должен быть удалён

справедливо если речь идёт именно о коммутации, и для одного VLANа

Спасибо!

если порт гаснет, то маки за этим портом чистятся

кроме гашения порта, если МАК появляется на другом порту, то на всех остальных он должен быть удалён

в сторону sw2 /interface vlan add name=eth10_vlan4 vlan-id=4 interface=ether10 на свитчах порты тэгированные, в сторону PC - ассеss , а связи между PC1 и PC2 нет , хотя если добавить ип на vlan - eth10_vlan4 , то от PC до микротика все работает

В бридж добавьте оба влана

т.е. создаю бридж и туда помещаю два влана ?

Т. е. да

ок , сейчас попробую, спасибо

Без бриджа они у вас независимые л3 интерфейсы

Без бриджа они у вас независимые л3 интерфейсы

А почему тогда не произошла маршрутизация?

я на этих интерфейсах не назначал ip

#поразмятьмозги #лабауровняmtctce Создайте правила(в пустом фаерволле), которые откроют на 1 минуту возможность подключения по SSH после того, как в течении минуты будет попытка подключиться по портам: 1234, 2345, 3456. Попытка подключения должна быть в любой последовательности. Т. е. не зависимо от порядка, в котором порты перебирались должен быть открыт доступ. Между попытками подключения должно пройти не более 20 секунд. Задача решается с помощью PSD.

сюда тоже кину, хоть успокоить душу что не я один приуныл ища решение :)

А что тут трудного?

динамические адреслисты тебе в помощь

динамические адреслисты тебе в помощь

правила два

два? гонят

и задействовано должно быть PSD

ну задача лабы, и есть решение

не гонят

у меня решения нет

я приуныл сегодня

Тоже хотел спросить, зачем псд, но раз два правила, то без него никак

Лёгкая задача

тут как минимум правило добавления в вайтлист на 1 минуту, разрешение из вайтлиста конекта по ССХ. А в адреслисты порткнокинга что, дух святой должен заносить?

вот и я тоже сразу запаниковал

Псд сам отработает

ка ктак, три порта а правила два

Тоже хотел спросить, зачем псд, но раз два правила, то без него никак

кстати, а как сделать без учета последовательности порткнокинга?

Из них второе – аксепт

видимо перечисление портов в первом правиле...

три попытки должно быть. иначе бы о ПОСЛЕДОВАТЕЛЬНОСТИ не вспоминали

тогда бы написали НА ЛЮБОЙ ИЗ ПОРТОВ

видимо перечисление портов в первом правиле...

+

тогда бы написали НА ЛЮБОЙ ИЗ ПОРТОВ

-

а как?

и вообще, положи телефон и сядь за комп ?

я не достиг такого уровня просвящения :)

я за компом

я Алексу

:)

пишет односимвольно. значит на телефоне торчит

он то точно знает решение, но вот хочу просто послушать изыскания других ребят :)

по себе знаю. я 4 дня за телефоном, без компа провел

коллективный разум иногда творит чудеса

ну ок. давай так сразу пройдем самые простые варианты 1. Пускает из вайтлиста на SSH 2. Добавляет в вайтлист на 1 минуту

так, тепеьр понятно что второ еправило будет пускать а первое содержит в сенбе перечисление...

тебя что из страны депортируют?

тебя что из страны депортируют?

он гастроллирует, учит :)

ERROR: S client not available

тебя что из страны депортируют?

В аэропорту я :) не дождётесь. Еду народ учить

Хорошая задачка, на самом деле :)

алексей, давай дальше думаем

да думаем

здесь вся зацепка в весе

в правильно соотношении

3 порта, 20с. на попытку. если без извращений то три правила на 3 динамический адреслиты с таймаутом 20с

я прост логику не могу сложить, как можно в одном правиле перечислить простук трех портов

но надо по другому

3 порта, 20с. на попытку. если без извращений то три правила на 3 динамический адреслиты с таймаутом 20с

тыт без листов скорее всего

я прост логику не могу сложить, как можно в одном правиле перечислить простук трех портов

запросто ПСД в 3 запроса за 20 секунд. но оно не различит РАЗНЫЕ порты. Оно примет даже 3 запроса на ОДИН порт

тут просто заносится скорее всего в один лист который будет пускаться во втором правиле

ща

https://wiki.mikrotik.com/wiki/Drop_port_scanners

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

тоже читай ?

чота чуется мне здесь еще и коннекшен нью будет учавствовать...

Attempts to detect TCP and UDP scans. Parameters are in following format WeightThreshold, DelayThreshold, LopPortWeight, HighPortWeight WeightThreshold - total weight of the latest TCP/UDP packets with different destination ports coming from the same host to be treated as port scan sequence DelayThreshold - delay for the packets with different destination ports coming from the same host to be treated as possible port scan subsequence LowPortWeight - weight of the packets with privileged (<=1024) destination port HighPortWeight - weight of the packet with non-priviliged destination port

хотя фаер пустой...

смотри. делай трес. нам нужен 20с

тоесть если за 20 секунд был следующий порт значит правило действует

щас еще понять как там щетчик количества портов задать

я пока еще не вкурю

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

ЧИТАЙ

найди там PSD и читай

Смотри, задаем там три порта на первой вкладке

ну это понятно

дальше идем в ЕКСТРА в ПСД.

первое правило заносит в вайтлист при условиях которые нужно задать правильно

точнее ты идешь, я туда еще не хочу. а то похабно звучит