и собсно я то что, без меня задачки не постят ? ?

Ты здесь - один из немногих, кто думать может.

Ежели в ближайшее время спать не собираешься - могу накатать и вбросить.

Ха, давай без комплиментов. я от них теряюсь ?. ты задачку нормально оформи(если под рукой завалялись картинки ) и завтра бы коллективно помозговали.

А там картинок не нужно даже.

Задачка теоретическая или реальный какой-то кейс возник?

Так я же писал...

Ну, у меня тоже есть интересная задача и тоже практическая. Похожа, но на л2. Когда делал - окончательного решения тогда не нашёл и забил, но потом решение придумал.

Вот.

так ты так линк и не вбросил

Ага, ибо кое-кто в очередной раз обиделся на меня, а сегодня тебя не было же.

@erazel, точно спамер. В шести абсолютно разношерстных группах появился.

Ага, ибо кое-кто в очередной раз обиделся на меня, а сегодня тебя не было же.

Меня можно и по имени :)

Я адекватен к критике

Александр, ну тогда прибей его.

Ну, ты же просил не ставить @mention после 22, вот и. ?

Но не меня. ?

Всмысле спамера, а не Антона

и напомните, как в списке участников задавать поиск?

Прибил :)

и напомните, как в списке участников задавать поиск?

А клиент какой?

У меня в маковом и айфоновом вверху списка - лупа

уже нашел. я на виндовом клиенте

Антон, давай быстрей вбрасывай линк, пока опять РО на сутки не получил ? Ты вообще на рекорд идешь, ты единственный на моей памяти кто в РО сидит чаще чем общается в чате ?

5 минут.

Итак, есть Интернет-провайдер, который раздаёт реалки напрямую. В сети используется DHCP, но никто не запрещает использовать статические настройки. Клиенту предоставляется один кабель в квартиру. На коммутаторах провайдера используется статическая ARP-таблица, а также ARP Inspection. Теперь суть задачи: по умолчанию выдаётся один IP-адрес (для которого, естественно, регистрируется MAC клиентского оборудования) и можно заказать дополнительный. Поскольку используется DHCP, невозможно зарегистрировать второй IP на старый MAC. Необходимо использовать оба адреса на одном клиентском устройстве под управлением MikroTik RouterOS. MetaROUTER использовать не позволяется. Для простоты используем статическую настройку. Адреса из одной подсети, но когда назначаем оба - работает только первый из назначенных вне зависимости от порядка назначения. #задачка

Текста немного, можно и напрямую.

Антон, тебе надо сервер или клиента реализовать? Или какой-то обход ограничений со стороны клиента?

Да мне уже ничего не нужно - решение я нашёл. ? Вот, решил поделиться, чтобы другие подумали.

А с какой стороны думать-то?

Реализацию со стороны сервера или обход ограничений со стороны клиента?

Клиентское же устройство должно использовать оба адреса, так что на клиенте. Провайдер ради одного клиента, который хочет 2 IP на одной железке не будет менять конфигурацию своих коммутаторов.

а трудность в чем? провайдер не регистрирует два айпишника на один МАС?

Кстати, предлагаю впредь ставить тег #задачка для задач на подумать.

а трудность в чем? провайдер не регистрирует два айпишника на один МАС?

Конечно, ведь это технически невозможно - тогда не будет работать DHCP.

ок. но думаю еще не сразу народ привыкнет. так что придется тебе заниматься любимым делом - педанстовать. Только, попрошу, без наездов на людей и вежливо ?

Конечно, ведь это технически невозможно - тогда не будет работать DHCP.

а, да, о нем забыл. что то о статике думал

а пров как выдает второй адрес? на тот же МАС или можно другое устройство так же использовать?

Я ведь только что ответил - тот же MAC нельзя, ибо демон DHCP упадёт. Другой MAC нужен. // дополнил задачку

если другой девайс то пожертвовать портом и сделать бридж интерфейсов. типа 1 и 2 бриджуем. на бридже поднимаем ДХЦП-клиент. 2 и 3 соеденяем кабелем и на 3 поднимаем еще один ДХЦП-клиент.

Так я в задаче написал - на одном устройстве нужно поднять.

или вообще бридж из одного интерфейса и задать админМАС отличный от МАС физического порта ?. Но не уверен что тик позволяет ДХЦП-клиента на слейве(сервак точно запрещает)

Нельзя. Но даже если бы было можно - всё равно бы не работало.

ну тогда я пас, пока что. Давай утром продолжим, когда народ будет и можно будет устроить коллективный брейн-сторм

Дополнил ещё.

ну тогда жертвовать порты на эмуляцию комутатора ?, как я писал в первой версии ?

А чем это поможет?

ну два МАСа будет

или на один интерфейс комутатора прова ТОЛЬКО ОДИН МАС клинетский может быть?

Будет 2 MACа, да. Но всё равно работает только адрес, который поднялся первым.

или на один интерфейс комутатора прова ТОЛЬКО ОДИН МАС клинетский может быть?

Раз провайдер даёт 2 IP через один кабель - понятное дело, что может быть 2 MAC на порту.

Ладно, завтра продолжим, щас идей нет, ибо сильно хочется спать :) До завтра ?

Эх, жаль. ?

сори, только до компа добрался. А так да, надо бота который по этой картинке сразу будет вытирать и банить ?. но такой есть у кого?

Да, есть - это я. Уже много раз было, что спамер вбросил какое-то дерьмище, а вы, звездоносные, все уже спите. Вот действительно - дали бы метлу уже.

Безопасней настроить бота и заставлять вошедших банально написать сообщение в течение пяти минут. В первых трёх сообщениях без ссылок и имен каналов. Иначе через пять минут кикбан

А если человек зашёл, и его срочно прервали и сделали жутко занятым на несколько часов? Кроме того, mention по структуре ничем не отличается от названия канала/группы. Ну и после появления лога административных действий уже не так страшно давать метлу другим.

Читать новый для себя чат -- не преступление. Тем более бывает много интересного, да и к людям присмотреться бывает не лишним, к местным "обычаям". В конце концов, спам -- не чтение, а _написание_ рекламных постов. Так что бан "молчунов" IMHO не есть правильная стратегия. Молчание -- золото ;)

Люто плюсую предыдущего оратора.

С другой стороны, если у кого-то "инфа -- сотка", что новичок УЖЕ замаран спамом в другом чатике (не просто зарегался, а именно спамил) -- к такому можно и прислушаться. Но всё равно расстреливать желательно при наличии компромата, а не просто догадки.

Да, я вот смотрю иногда, какое общее количество групп у меня с вновь вошедшим. И это уже помогало превентивно забанить, предотвратив спам.

Всем привет, помогите разобраться с find, добавляю nat правило src-address=172.16.0.2 и потом делаю ip firewall nat find src-address=172.16.0.2 и вывод пустой

@zavndw, так и должно быть. find не выводит результат поиска, а возвращает индекс результата в массиве.

я хочу автоматизировать процесс помещения в nat, туда без проблем надор добавляю а как получить номер правила что бы удаить

не понятно

/ip firewall nat; disable [find src-address=x.x.x.x] https://wiki.mikrotik.com/wiki/Enable_Disable_Firewall_Rules

ERROR: S client not available

/ip firewall nat; disable [find src-address=x.x.x.x] https://wiki.mikrotik.com/wiki/Enable_Disable_Firewall_Rules

я только ip в ковычки взял и вроде получилось что хотел, спасибо

Господа, интересный вопрос. Имеем набор фв правил - разрешить входящий инпут на часть портов, разрешить форвард зависимый и установленный. Разрешить форвард из локалки в инет, все остальное дроп (и инпуты и форварды). Делаю проброс порта 25го. Соответственно фв на инпут открывать не надо, но вот пока не отключил общий дроп форварда - нихрена не заработало. Не могу понять почему. Не подскажете?

Или спрошу иначе - хочу пробросить 25 порт на внутренний сервак. Файрвол полностью заглушен - дропы на все , считаем . Каков порядок действий ? Что, кроме dstnat (netmap), необходимо прописать в фв? Куда какие разрешения

Или спрошу иначе - хочу пробросить 25 порт на внутренний сервак. Файрвол полностью заглушен - дропы на все , считаем . Каков порядок действий ? Что, кроме dstnat (netmap), необходимо прописать в фв? Куда какие разрешения

в форвард добавить правило разрешающее 25 порт

в форвард добавить правило разрешающее 25 порт

Откуда куда

Откуда куда

ну до сервера же вам надо с интернета :)

У меня правила форварда разрешают однозначно направление

Не такой фигни типа "разрешить все и всем"

От сервера в инет свободный доступ

ну так и указывайте направление однозначно

Получается, необходимо из вне вовнутрь форвард разрешать? Тогда почему так, ведь netmap автоматом открывает порт,

ну да

На кол /report

Получается пакет приходит и доходит, почему не отрабатывает правило forward established, related?

Получается, необходимо из вне вовнутрь форвард разрешать? Тогда почему так, ведь netmap автоматом открывает порт,

порт он открывает на роутере, а дальше до сервера оно идет через форвард, там тоже надо разрешать при пробросе

Я так думаю что не отрабатывает, потому что пакет не дошел до адресата внутреннего и соответственно никакого соединения не установил. Мош я ошибаюсь?

Получается пакет приходит и доходит, почему не отрабатывает правило forward established, related?

потому что соединение устанавливается со стороны интернета, а правила established,related для LAN наверно у вас, так и должно быть..

Я так думаю что не отрабатывает, потому что пакет не дошел до адресата внутреннего и соответственно никакого соединения не установил. Мош я ошибаюсь?

правильно думаете, но правила эти под эту ситуацию не подходят.. Они для того чтобы разрешить трафик из вне, для соединений установленных из лан

у вас наоборот

вообщем добавьте правило в форвард и будет вам счастье

Т.е. allow forward from wan to lan ?

Мне ж не тупо хочется добавить, а понять чокаво

да, можно еще добавить адрес сервера и порт

чтобы понять смотрите iptables tutorial

посмотрите на схему, если пакет транзитный, то после nat prerouting идет через forward

поэтому туда тоже нужно добавить разрешающее правило

Там, где делаете дроп в форварде, добавьте условие: connection NAT state=!dstnat

Там, где делаете дроп в форварде, добавьте условие: connection NAT state=!dstnat

Вот это наверное правильное решение

Потому что у меня есть правило drop all from wan !dstnat connection state new