client-tx-limit вроде

Access list

Ребята кто как клиентов с плохим сигналом рубит?

мне показывали два правила в access list первая разрешает тем кто с хорошим сигналом, вторая рубит с плохим

Все разобрался

забыл про Default Authenticate

А где это?

и два првила

/interface wireless access-list add comment="Horoshiy signal" forwarding=no signal-range=-83..120 vlan-mode=no-tag add comment="Otrubaem nige -55" forwarding=no interface=wlan1 signal-range=-25

thx

/interface wireless access-list add comment="Horoshiy signal" forwarding=no signal-range=-83..120 vlan-mode=no-tag add authentication=no comment="Otrubaem nige -55" forwarding=no signal-range=-56

Подскаже где найти sysprep для windows xp. И подойдет ли от 7? Извините, что не в тему.

Подскаже где найти sysprep для windows xp. И подойдет ли от 7? Извините, что не в тему.

На диске

На диске

Нет там. Искал глазами и поиском.

А диск оригинальный?

по моему без диска просто из консоли можно запускать

народ а что делает правило в дефолтной конфе микрота

chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway

чет я смысл не очень понимаю

дропит новые соединения со шлюза

мб надо установить из папки support / tools

а почему не input

и причем тут шлюз

инпут для доступа на сам микротик, форвард для локалки

я знаю в чем разница, просто каким образом пакет останется new если он уже forward

как кароче хотябы пакет на это правило отправить?

нью состояние соединения, форвард это цепочка.

блин я знаю разницу

просто исходя из правила оно дропает не "проброшеные" пакеты в сетку с состоянием new

если пакет прошел через nat он уже не new

Нет там. Искал глазами и поиском.

На всякий случай напомню, что Sysprep можно найти на любом установочном диске с Windows XP (D:\Support\Tools\deploy.cab), где D: — это буква CD-привода в вашей виртуальной машине. Распаковываем содержимое deploy.cab, например, в C:\Sysprep на виртуальной машине и запускаем setupmgr.exe. Проходим процесс создания файла ответов в соответствии с нашими потребностями. Единственное напомню, что в выборе типа файла ответов нужно выбрать вторую опцию – «Установка Sysprep».

ктонибудь видел хоть раз на этом правиле хоть байт

если не new - пройдет

как мне сделать чтобы он дропнул меня по этому правилу

там

Нет там. Искал глазами и поиском.

?

в нем либо надо цепочку на input менять либо new убрать

Спасибо

chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway

Всё, что не касается проброса портов внутри сети, приходящее с ether1 - блокируем

и как мне пустить на него байт?

чтобы прям увидеть что оно работает?

так то я так его и понял

http://www.linux.org.ru/forum/admin/11850578

да епт)

у вас оно есть это правило?)

чтобы прям увидеть что оно работает?

а вот хз)) но зачем то оно нужно

попробуйте на рандомный порт стукнуться не прокинутый в nat

по логике я же должен увидеть трафик

а вот хер

короче нет трафике даже если делаешь input и убираешь new

полная херня

connection nat state чет не работает

а я допилил чтоб the dude отпрвлял в телеграм месаги

Дык на наге лежит всё что нужно для этого

Или дуда на самой железке?

у меня тоже правило, но т.к. подключение через pppoe в шлюзе pppoe и без connection nat state, переодически из инета пакеты падают

chain=forward action=drop connection-state=new in-interface=pppoe-out1

это другое правило

тут интерес именно в connection nat state

такой штуки раньше не было и если она работает она сильно может размер фаервола уменьшить

у многих

но чет у меня сомнения

chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway

подозреваю что бы кто то хитрый из локалки прова не вписал твой роутер шлюзом для твоей локалки и не лазил по ней

а вот если ты сам натишь этот порт значит так и нужно и трафик пропускать

приветствую, коллеги

подозреваю что бы кто то хитрый из локалки прова не вписал твой роутер шлюзом для твоей локалки и не лазил по ней

чет не врубаюсь это как

привет))

ERROR: S client not available

а расскажите-ка мне как обучить dns сервер слушать только определённый интерфейс?

фаерволом типо udp 53 in interface такой то

дропать инпут по udp 53 порту на интерфейсах

так я и сам умею

Петр а конкретнее?

вот линуксовому bind'у я могу явно объяснить какие интерфейсы он слушает

засунь все порты в бриж

включи на брдже фильтр и блокируй запросы

а тут только дропать?

я хочу чтобы dns сервер, который сидит в голове у моего микротика отвечал только в локалку

а он слушает сразу все интерфейсы

а куда он еще отвечает?

наружу

ну так тебе говорят дропай 53 порт

никакой ручки, которая регламентировала бы ему отвечать только на определённые интерфейсы я не нашёл

/ip firewall filter add chain=input action=drop protocol=udp src-address=!192.168.88.0/24 dst-address=192.168.88.0/24 dst-port=53 log=yes log-prefix=""

никакой ручки, которая регламентировала бы ему отвечать только на определённые интерфейсы я не нашёл

правильно - ручки нет

Как-то так у себя делал.

закрой файрволлом

сколько раз повторять?

из доступных средств только дроп на определённом интерфейсе

он таких запросов наползает куча

и это вызывает боль?

/ip firewall filter add chain=input action=drop protocol=udp src-address=!192.168.88.0/24 dst-address=192.168.88.0/24 dst-port=53 log=yes log-prefix=""

а если на ВАН кто-то 192.168.88.хх себе поставит?

тдропатьт карл, дропать

that is sucks

он таких запросов наползает куча

попроси провайдера путь он дропает

ну нет

тогда след. заход по козырям ;)

кто поднимал ipsec туннели между цЫской и микротиком?