ну они бюллютени по секурити выпускают

тебе это никак не поможет сделать нормальный дизигн или фиривол

сесурити бюллетни выпускаются скорей для поибешников

:\

это в офлайне проводится?

в риал лайф, да. загугли и найдешь график

это в офлайне проводится?

но записи есть в ютубе

Без фаервола пройдет. Именно для борьбы с этим делаются правила accept established,related - остальное дроп.

Пример есть?

м, что такое мумы?

Бурёнки...

Пример есть?

какой пример? берете микротик, хоть виртуальный - создаете только нат и на машине за натом включаете снифер. На машине во внешней сети ставите маршрут до внутреней через "wan" порт. И делаете любой запрос

пример эксплуатации: жертве с интернетами по ipoe ставим в разрыв микротик/чё угодно

ну в щиток / чердак / подвал / etc

и всё — имеем доступ в локалку

так что ipoe штука таки апассная.

если не мониторить аномалии на аплинке

(mac у прова сменился / разрыв)

так что ipoe штука таки апассная.

PPPoE тоже подвержено?

PPPoE тоже подвержено?

с чего эт?

Я знаю что IPoE жто дыра.

Можно и о терракте так сообщить)

А можно пентагон ломануть...

Да много чего сделать так можно)

Думаю мы скоро запретим IPoE.

причем оптика не спасет

прост возни больше

PPPoE тоже подвержено?

был эксперимент по перехвату pppoe сессии

прост возни больше

И даунлинк больше.

был эксперимент по перехвату pppoe сессии

Зачем её перехватывать, если там PPPoE данные доступа в нешифрованном виде по сети гуляют?

чапы \ ms-chap существуют же

чапы \ ms-chap существуют же

так он скомпрометирован...

ок, а ms-chap2 ?

вроде тоже чето было

OpenVPN пока не сломали только, остальное всё скомпромитированно.

потому мсфт и топит за peap

OpenVPN пока не сломали только, остальное всё скомпромитированно.

ipsec стоит)

чёто сломалось - пихаем в ipsec

и мы снова в безопасности

блин настроил наконец))) начал не с пустого роутера, а выбрал типовые и переделал, гдето собака зарыта была

OpenVPN пока не сломали только, остальное всё скомпромитированно.

А как же ipsec с протоколом GOST? )))

А как же ipsec с протоколом GOST? )))

Жарову точно понравится

Жарову точно понравится

Конечно понравится. Он же не дурак.

по форвардам dns: манглами ловим, метим, натим на доменный dns. А если мне надо на 2 натить на разных площадках? делать скрипт с мониторингом доступности и активировать второй если лежит первый? или гуманнее что-то есть?

например чередовать запросы?

Что есть доменный DNS?

Каждый запрос отправляется на DNS сервер, который управляет доменной зоной указанной в запросе? Тогда мне тебя жаль.

филиал с пк в виндовом домене (MS AD), 2 ЦОД...

А причем здесь DNS и виндовый домен?

на ДК уходят запросы по маске *.domain.local

остальное обслуживатеся микротиком

Glue запись кажется поддерживается в микроте.

Сделай NS1 и NS2 для домена на микроте и все пойдёт на локальные DNS сервера

Хотя на практике такой приём с микротом не пробовал.

ну задача-то убрать лишние запросы на ДК, так бы просто в dhcp раздавал dns ДК да и все

Что значит лишние?

Если клиенту нужен запрос, то он уже не лишний.

а ну ка доменный контроллер, дай мне ip от yandex.ru и еще адреса десятков скриптов со страницы

зачем оно?

Ты вообще понял, что я написал, или нет?

Я понял, что в днс микротика прописать днсы доменных контроллеров

Неееет!

ну задача-то убрать лишние запросы на ДК, так бы просто в dhcp раздавал dns ДК да и все

разрулите mangle, у меня так, всем рулит микрот, если запрос на КД - на него и отправляет. в DHCP раздает МТ и DNS-сервером является МТ

не путайте неймсервера и активдайректори)

не путайте неймсервера и активдайректори)

У него на сервере AD, как я понял, поднят DNS для его леса.

Я понял, что в днс микротика прописать днсы доменных контроллеров

Вот Вам mangle: /ip firewall mangle add action=mark-connection chain=prerouting dst-address=192.168.112.1 dst-port=53 layer7-protocol=megimc.loc new-connection-mark=megimc.loc-fwd protocol=tcp add action=mark-connection chain=prerouting dst-address=192.168.112.1 dst-port=53 layer7-protocol=megimc.loc new-connection-mark=megimc.loc-fwd protocol=udp

разрулите mangle, у меня так, всем рулит микрот, если запрос на КД - на него и отправляет. в DHCP раздает МТ и DNS-сервером является МТ

ну и у меня, появился второй ДОЦ с резервным контроллером и первый будет иногда отключаться. Задача уметь бросать на второй в случае отказа первого

И он хочет запросы к зоне леса направлять на него.

а теперь появился еще, например, 192.168.113.1 ?

скрипт с проверкой доступности не хочу делать (просто не люблю скрипты, и так их уже десятки, на каждый чих)

Здравствуйте, нуб, рак, олень. Киньте пожалуйста нормальную статью по балансировки каналов или резервирование, но если на него пришел входящие пакеты на него обратно по нему(на канал который для резерва)

ERROR: S client not available

Здравствуйте, нуб, рак, олень. Киньте пожалуйста нормальную статью по балансировки каналов или резервирование, но если на него пришел входящие пакеты на него обратно по нему(на канал который для резерва)

По второй части это два правила в мангле для каждого из аплинков (суммарно 4)

Первым метим входящий траф с каждого из аплинков

Вторым траф с меткой пускаем в свою таблицу маршрутизации

Ах да, в роутах нужно создать две таблицы для аплинков, туда занести 0.0.0.0/0

По первой части — хм хм. На Вики тика было про балансинг точно.

Здравствуйте, нуб, рак, олень. Киньте пожалуйста нормальную статью по балансировки каналов или резервирование, но если на него пришел входящие пакеты на него обратно по нему(на канал который для резерва)

https://www.youtube.com/watch?v=T_3mWxAYBL0

Спасибо всем /ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=prerouting action=passthrough 1 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 2 D ;;; special dummy rule to show fasttrack counters chain=postrouting action=passthrough 3 ;;; Input isp1 chain=input action=mark-connection new-connection-mark=cin_ISP1 passthrough=no in-interface=ISP1 4 ;;; input isp2 chain=input action=mark-connection new-connection-mark=cin_ISP2 passthrough=no in-interface=ISP2 5 ;;; output isp1 chain=output action=mark-routing new-routing-mark=input isp1 passthrough=no connection-mark=cin_ISP1 6 ;;; output isp2 chain=output action=mark-routing new-routing-mark=input isp2 passthrough=no connection-mark=cin_ISP2 типо так?

Я бы на инпуты поставил пасстру тру

А то без этой опции иногда траф уходил не туда

Не знаю почему, пасстру пускает пакеты далее по правилам...

У меня почемуто совсем при этих правилах нет интернета /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 192.168.1.1 1 1 X S 0.0.0.0/0 192.168.8.1 1 2 A S 0.0.0.0/0 192.168.1.1 1 3 ADC 192.168.1.0/24 192.168.1.215 ISP1 0 4 ADC 192.168.8.0/24 192.168.8.20 ISP2 0 5 ADC 192.168.88.0/24 192.168.88.1 LOCAL 0

Какойто исходяшие правило нужно ? для новых?

0.0.0.0/0 в таблице main есть?

(таблица без имени которая)

где посмотреть?

В ip route

Так ща чето не так все

В таблице исп1 и исп2 роуты на локалки

маин таблиу нету

Все должно быть в маин. И 0.0.0.0/0 тоже + 0.0.0.0/0 должны дублироваться в таблицы isp1, isp2

надо на основной игнтернет маин сделать?

маин таблиу нету

Пустая то есть

Она зовётся main в кишках рос

надо на основной игнтернет маин сделать?

А тут вот вопрос. Если нужна балансировка, то не так просто

Потому что сверху лишь для отсылки пакетов на тот же интерфейс правила.

мне нужно ввести новый инернет и на него выход поставить но задача чтобы все приходяшие на первый приходили также

и у хадили

Ну вот сверху мангл верный

Нужно 0.0.0.0/0 сделать дважды : два в main, и по каждому в соответствующих ISP1,2 таблицах

nfr&

та?