Извините что влезаю, но на мой белый ип до двух мегабит азиатов щемятся )

ДНС выруби ?

Днс амплификэйшен

ееее, напомни что это конкретно

Где?зачем? Шо? У меня наружу один порт торчит. Для рдп - в него и долбятся. Пароли перебирают

Так порт смени или фильтр по ip

Где?зачем? Шо? У меня наружу один порт торчит. Для рдп - в него и долбятся. Пароли перебирают

стандартная ситуация, смени порт на "нестандартный"

Порт они ловят. А так геоип. На всю Азию

стандартная ситуация, смени порт на "нестандартный"

Порт они сканят. Надо или геоип или портнокинг

стандартная ситуация, смени порт на "нестандартный"

Плохая рекомендация.

Плохая рекомендация.

почему?

Рдп жопой наружу вообще плохо

Лучше в дстнате разрешить адреслисту "белых" и Профит

Порт они ловят. А так геоип. На всю Азию

Как? Поставить вообще левый. И как они о нем пронюхают? Там же робот проходит по самым популярным портам.

Или даже лучше разрешить только из серой сети и поднять впн

Как? Поставить вообще левый. И как они о нем пронюхают? Там же робот проходит по самым популярным портам.

Полно роботов, которые сканируют весь диапазон и по фингерпринту отличают, что там торчит

Я с мобилы забегаю. Так что ип разный. Впн да... И надо собраться и прикрутить сертификат

Я наружу вообще вытащил все популярные порты как ханипот

Порт они сканят. Надо или геоип или портнокинг

Так юзай PSD и нет проблем

Первый пакет на порт - айпи идет в бан на сутки

Полно роботов, которые сканируют весь диапазон и по фингерпринту отличают, что там торчит

Это да, но э о сильно медленнее и следовательно их очень мало.

Так юзай PSD и нет проблем

Psd wtf?

PORT SCAN DETECTION

в файрволе микротика на закладке Екстра

Я наружу вообще вытащил все популярные порты как ханипот

21, 22, 23, 25, 80, 135-138, 443, 8080

Все ведут на ханипоты :)

Это да, но э о сильно медленнее и следовательно их очень мало.

Белый ип уже известен. А сканить не так и долго

?

в файрволе микротика на закладке Екстра

Тапками не кидаться ) у меня счас на шлюзе керио )

Ну ничем не помогу, в керио не импотентен

А я пока не просил помощи. Они в последнем патче прикрутили бан по геоип. Пока что работает. Но было прикольно в логах смотреть перебор паролей. До 4мбс в пике было

Я просто думаю на выходе рос7 поставить на другой жестячок. И с ним пожить.

Есть вопросик по mangle + routing, кто компетентен?

на WAN сетевке 2 ip адреса

и два шлюза

кейс: плавная смена ip адресации на удаленном тике, за которым веб сервер

второй шлюз с маркировкой NEW_ROUTE

первый шлюз без маркировки

веб сервер за NAT

как принимать трафик к веб серверу на оба IP адреса?

нормально принимать

кудой пришло тудой ушло. этим правилом

тоесть по ДСТ. адресу ловим конекшн. По форварду с локалки и конекшнмарку вешаем роутмарк

у меня 2 dst-nat правила: при заходе на старый ip, dstnat на вебсервер и аналогично новый адрес

это всё в материале о РСС на вики

per-connection-classifier?

угу

ok, thx

)

PCC — это балансировка

вот правда как точно с НАТом там не помню, наверное всё так же

вот тут именно нат

PCC — это балансировка

да, но там разжована ситуация двух ВАНов и маркировки конектов ну вначале материала. Сам блок о РСС можно отбросить

потому что я уже полез маркировать коннекшны по входящим ip адресам

на прероутах

и делать роут марк

Никита, я вообще не знаю надо ли заморачиваться. за тебя всю работу же должен делать контрак. пусть Алекс поправит если что

вот с балансировочкой на исходящий трафик все понятно

да балансировка нафиг упала. просто в материале о балансировке и аспект одновременной работы по двух аплинках затронут

потому что я уже полез маркировать коннекшны по входящим ip адресам

в прероуте или в форварде нью коннекшн-марк=ноу-марк делать марк коннекшн по ин-интерфейсу. Потом в прероуте по ин-интерфейсу/сам (внутренним) и коннекшн-марке делаем марк-роутинг в соответствующую таблицу

вот пакеты приходят на веб сервер нормально, а как явно указать с какого ip адреса отвечать в зависимости от того, на какой пришел пакет? )

у меня ОДИН аплинк

вот пакеты приходят на веб сервер нормально, а как явно указать с какого ip адреса отвечать в зависимости от того, на какой пришел пакет? )

а контрак разве не так делает? сервак же отвечает роутеру. И роутер перешлет ответ дальшще, но вот тут я не помню отработает ли контрак или нет.

Стоп, а зачем тогда весь геморрой?

Таблица нат обрабатывает только первые пакеты подключения. Дальше контрэк

Я-то думал, проблема с дст-натом и двумя провами )

нет, пров один, один интерфейс, но два разных айпи адреса

ERROR: S client not available

датацентр меняет адресацию

и два разных шлюза соответственно

Понял. Тогда телодвижений не требуется

Хотя два шлюза...

да

Это физически одна железка или нет?

Шлюзы

да, одна железка, ccr

а вот это хз)

провайдер не докладывает)

В арпе гляньте

ща

Пофиг, сами узнаем )

Если арп одинаковый — вообще не парьтесь

разные

Тогда рулите как с двумя исп

Хм, а какая принципиальная разница? Пришел на один адрес - ушел в контрак на сервер. Пришел на другой адрес - ушел в другую таблицу маршрутизации, где тоже есть маршрут до сервера. И тоже в контрак

разница в том, что браузер посылает запрос на один адрес, а получает ответ с другого

А такая разница, что он по дефолт-гейтвею выплюнется. Не забывайте, что нат с маршрутизацией никак не связан. А чаще всего мешает. Вот Никита привёл конкретный этого пример

А такая разница, что он по дефолт-гейтвею выплюнется. Не забывайте, что нат с маршрутизацией никак не связан. А чаще всего мешает. Вот Никита привёл конкретный этого пример

Точно.

Но если попал в другую таблицу маршрутизации - там же другой дефолт, не?

Контрак же обратный пакет в нее запихает

Если попал — то да

Если очень попросить :)

нет, пров один, один интерфейс, но два разных айпи адреса

Тогда метьте в прероутинге по дст-адресу порту. Это будут значения, которые ДО ната

Ну коннекшн по первому пакету маркировать. И по наличию коннекшнмарки - вешать роутмарк на каждый пакет

Тогда рулите как с двумя исп

а в чем отличие от dual ethernet?

Тогда метьте в прероутинге по дст-адресу порту. Это будут значения, которые ДО ната

В этом.

коннекшн марк сделал на conn-state=new в прероуте по входящему ip адресу

а дальше запутался

коннекшн марк сделал на conn-state=new в прероуте по входящему ip адресу

Добавьте ещё коннекшнмарк=ноумарк на первой вкладке

chain=prerouting action=mark-connection new-connection-mark=test-conn-mark passthrough=no connection-state=new protocol=tcp dst-address=1**.*.0.41 connection-mark=no-mark dst-port=80