просто у меня проблема есть: я подозреваю что NAT не всегда правильно работает. У меня некая китайская система видеонаблюдения любит вместо того чтобы напрямую, использовать промежуточные IP. В большинстве случаев прямо соединяется. Протокол там странный китайский. Исследовать это можно только экспериментально. Вот я и думаю, связано ли это правило /add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid с описанной ситуацией или нет? Что происходит когда на внешний порт закрепленный в NAT за ip-камерой поступает трафик с ранее не известного IP?

Коллеги, приветствую. Подскажите пожалуйста. Если на микротик 2011 на первый порт подать poe 802.11af со свитча, можно его отдать на 10 порту, где пассивное poe?

думаю нет

просто у меня проблема есть: я подозреваю что NAT не всегда правильно работает. У меня некая китайская система видеонаблюдения любит вместо того чтобы напрямую, использовать промежуточные IP. В большинстве случаев прямо соединяется. Протокол там странный китайский. Исследовать это можно только экспериментально. Вот я и думаю, связано ли это правило /add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid с описанной ситуацией или нет? Что происходит когда на внешний порт закрепленный в NAT за ip-камерой поступает трафик с ранее не известного IP?

invalid - срабатывает тогда, когда на по порту пролитает ACK - а SYN до это-го небыло

я поставил а это правило LOG, теперь не понимаю вот этой фигни: 13:18:36 firewall,info INV forward: in:bridge out:ether5, src-mac 1c:1b:0d:72:47:eb, proto TCP (ACK,RST), 192.168.88.210:61652->122.226.102.64:51748, len 40 внутренний клиент шлет что-то несогласованное ставящее в тупик линукс?

invalid - срабатывает тогда, когда на по порту пролитает ACK - а SYN до это-го небыло

ну прилетает. а с практической точки зрения как с этим бороться? я надеюсь, что если не будет invalid, то и в самом китайском протоколе все нормализуется

invalid - срабатывает тогда, когда на по порту пролитает ACK - а SYN до это-го небыло

вот тут TCP ACK прилетает от китайской программы. они там что свой стек написали?

подскажите пожалуйста, что тут имеется ввиду ? /ip firewall filter add chain=forward in-interface-list=WANs connection-nat-state=!dst action=drop Этим правилом Вы защищаетесь от попыток маршрутизации в Вашу локалку. При этом, если Вы пробрасываете порты с помощью dst-nat, проброс произойдёт.

я правильно понимаю что это поможет если кто-то указал мой wan ip в качестве маршрута ?

но чтобы он это смог сделать, он должен находиться в одной подсети с моим wan ip

имхо надо все это удалить. Вон нашел что с фейсбука переиодически прилетает что-то не то. Так они то знают что им нужно и зачем, а какой-то бывший кгбшник из латвии засунул правило абы чего не вышло

вот тут TCP ACK прилетает от китайской программы. они там что свой стек написали?

Ну он в инвалид попадает - так как небыло SYN

И если ты выключишь фильтр invalid - то нечего стращного не произайдет, и скорей всего твой китай-протокол заработает

Но тогда твой ротуер\фарвол будет больше подвержан к аттакам

Но тогда твой ротуер\фарвол будет больше подвержан к аттакам

у тебя дедушка тоже в кгб латвии работал? каким именно атакам?

надо как-то поконкретнее

надо как-то поконкретнее

Ну какой-то бот будет срать не SYN а ACK во все стороны

Тоесть есть опасность что кто-то случайно, или специально будет засырать твою таблицу соединений на микротике, пока она не кончится

Ну какой-то бот будет срать не SYN а ACK во все стороны

не ну какой? в интернете удалось нагуглить "Защита от основных атак") Ппц. Один всунул, а другие поехали копировать

Поэтому и ставять invalid drop чтоб отбрасывать заведома неверные соединения. Которые были созданы по ошибки или специально

Тоесть есть опасность что кто-то случайно, или специально будет засырать твою таблицу соединений на микротике, пока она не кончится

ну более-менее ок. Однако если китайцы и фейсбук вольно отправляют пакеты, значит Бытовой Роутер Класса Б-ЛИНК не особо парится

Ребята кто нибудь встречал что-то подобное у себя в сети ??

Ребята кто нибудь встречал что-то подобное у себя в сети ??

кабель херовый небось

Уже 2 менял

Проверил маки в подсети

Нету совпадений , так же IP проверил.

попробуйте руками выставить скорость , возможно что-то с согласованием

Есть предположение что в сервере карточка глючит

попробуйте руками выставить скорость , возможно что-то с согласованием

Это на серваке или на микроте выставлять ?

на микроте попробуйте

Ок , Спасибо за совет

Вечер добрый. Приобрел UBNT EDGE Router, ника не могу найти, где настроить DMZ, работал кто с ним? Сталкивался?

Сочувствую о приобретении?

Вам в другой канал

Да согласен

В какой канал?

Не очень юзабельная штука

Это клиенту, так все на MiroTik ставим )

В какой канал?

По ubnt

На крайний случай - "O FreeBSD"

Не правильно сказал. Можно линк?

Сорян. Поробую на nag спросить.

В какой канал?

@pro_mikrotik

Можно там спросить

Спасибо )

Народ, кто что знает о таких штуках ?

> /log print where . .dead .id .nextid

Что это ? И как этим пользоваться ?

ребят, а кто-нибудь INTEL X710-DA2 использует с микротих ?

ребят, а кто-нибудь INTEL X710-DA2 использует с микротих ?

дА конечно все поголовно. особенно в это время суток..

и cpu у всех 8 ядреные не меньше....

у меня 72 ядра ... но это не плохо ? да ?

у меня 72 ядра ... но это не плохо ? да ?

задачи разные бывают, наверно да...мне и половины хватало как-то...

но а INTEL X710-DA2

есть ? где-нибудь ? с микротик ) ?

не...но хороши...

карта новая ... смушает будет ли она работать

или же уже от модуля больше зависит ?

с дровами как?

vmware присутствуют

патчкорд до crs137 1м

сколько трафика то?

ERROR: S client not available

это нода с 10 - 15 машин

при бекапе будет под 3 - 4 Гб сек

таких нод две и корзин две

резерв бондом?

нет резерва

(

только продакшн

для резерва по хорошему этого барахла еще нужно х2

нет резерва

я вот что имел ввиду https://wiki.mikrotik.com/wiki/Manual:Interface/Bonding

а смысл от бондинга ?

для резерва по хорошему этого барахла еще нужно х2

а это нужно в другом цоде...

а смысл от бондинга ?

увеличние пропускной способности и резерв, на случай шаловливых ручек.

и cpu у всех 8 ядреные не меньше....

райзен то подешевел. и бытовой и восьмиядерный.

тут выкручиваюсь поднимая пропускную на интерфейсах ... бондинг на ros идет через CPU

я бондинг использую для другого ... например улучшить качество связи RTP сипа

смысла от него адрегировать каналы нет

я бондинг использую для другого ... например улучшить качество связи RTP сипа

а почему оно должно улучшиться?

райзен то подешевел. и бытовой и восьмиядерный.

После k7 как то не срастается с АМД

по два провайдера с разных сторон ... у одного пик на оборудовании пакеты в задержке

джиттер в опе

бондинг бродкаст через разных провайдеров тянет один L2

в оба канала всегда летят пакеты

а почему оно должно улучшиться?

да хоть распределение

и тот который первый идет к станции

в оба канала всегда летят пакеты

во-во

всегда есть какой-то первый

когда телефония в часы пик начинает квакать

не хочется траблшутить и переключать

используешь всегда оба и всегда наилучший

можно же в л2 сувать не весь трафик ... а только vlan

или только rtp