Почему? Что за бред

На бридж и назначен адрес

Опечатался

нихрена себе привет!

где-то засветился?

пффф да легко

двигайте ссх порт на другой

где-то засветился?

это нормально

это нормально

Раньше такого не было

двигайте ссх порт на другой

Лучше вовсе его фаерволом закрыть.

А вообще нигде не засветился. Это боты. Они сканят весь интернет и где нашли ссш - там и брутят.

закрыть фаерволом и не пользоваться

петросян детектед

статично открыть для заведомо известных хостов и динамически открывать если потребуется

Это норма.

закрыть фаерволом и не пользоваться

а лучше выдернуть ISP шнурок??

спалился ваганыч

вообще у меня стоит брут форс

А у ботов на тебя)))

но в блэклисте чисто, они по одному разу ломятся с каждого ИП

Бурится через прокси

Чтобы не получать множественные попытки авторизации с одного ип

статично открыть для заведомо известных хостов и динамически открывать если потребуется

Да надо через кнокинг сделать уже доступ

Бурится через прокси

Дома это лишнее

Да надо через кнокинг сделать уже доступ

Через icmp-кнокинг проще всего

если пришёл icmp-ping с нужным (нестандартным) размером пакета - добавляем IP в address-list которому можно в ssh/winbox

Да, я знаю, с длиной пакета. Лень все ?

Угу

add action=add-src-to-address-list address-list=allowed address-list-timeout=10m chain=input log=yes log-prefix=ALLOW packet-size=РАЗМЕР protocol=icmp src-address-list=!allowed

https://www.youtube.com/watch?v=sC8xQB87IAc

вот и все фокусы

у меня вообще IPIP IPSec между 2 квартирами и на второй вообще файрвол не настроен ?

ну ссзб, чо

ну ссзб, чо

именно. а еще я бэкапы софта редко делаю. случалось что терял наработки с кучи проектов... благо не возвращался к ним. но один переписывал, хотя его в любом случае проще писать с нуля было

почему то не видит пакеты. перезагружал через system - reboot. не помогает

кто нибудь сталкивался?

Сразу после перезагрузки загляните в лог

там вначале может быть ответ

ну на один пакет ругается старой версии. а актуальную не видит

Уберите multicast от 6.40.8

Просто уберите его и должно увидеть .5

все завелось. удалил тоже

как я понял под мой роутер dude нету? 951G

Нету

у меня мультикаст 5 сам подтянулся

народ, а кто-нибудь синхронизирует адрес лист тиков через файловый сервер например? ну чтобы списот можно было как автоматически тиками обновлять, так и вручную текстом в файле

ansible прокачайте

Люди спасите а то крыша уже едет css326-24g-2s+rm есть вот это чудо настроены vlan включен igmp если подключены устройства с 1гб сетевухой то все норм работает если подключается устройство со 100мб то все ложится.

проверяли только один девайс с 100мбит?

Да просто даже если ограничение поставить на порт куда ничего не включено пакеты начинает теряться

А так 12 устройств подключал

Может его ресетнуть/ось обновить?

Делал их всего 2 у обоих последняя версия 2.7

Хотел 2.6 найти но нигде не могу

народ, а кто-нибудь синхронизирует адрес лист тиков через файловый сервер например? ну чтобы списот можно было как автоматически тиками обновлять, так и вручную текстом в файле

fetch+import

На моём css326 на 2.7 такой проблемы нет

fetch+import

посмотрю

спасибо

ERROR: S client not available

Но учти что вот эти вот fetch+import при частом использовании будут ушатывать флешку микрота

раз в неделю достаточно

если адрес лист будет временный он наверное на флеш не запишется

если временный - то не запишется, но в момент fetch он будет записан на флеху

временный мне и не надо

я думаю еще делать проверку размера файла или даты изменения (это же тик может проверить?)

Я так понимаю, вы хотите иметь возможность и на микроте править, и в текстовом файле. А как вы собираетесь разруливать конфликты?

Вообще если в одну сторону - можно использовать bgp. А на микроте скриптом разбирать табличку.

Плюсы - никаких, кроме того, что нету fetch. Но раз в неделю не смертельно.

конфликты - вручную. будет мастер тик, с него будет браться таблица. либо вручную в мастер грузить скриптом измененный файл. двусторонне сложно, да и не нужно это

А адрес листы эти - они зачем?

для фаервола, правил доступа.

днс еще бы до кучи прописать

Типа этим можно сюда, а этим нет?

локальных адресов

да

в основном для доступа снаружи

Ну вот запрет можно на бгп без адрес листов сделать, да)

Разрешения пока не уверен, надо подумать)

А днс куда прописать?

в днс. но это не обязательно. так, мысли вслух. при подключении по впн он не работает, поэтому все пути прописаны через ип

воп не на тике (OpenVPN на QNAP)

Днс можно l7 фильтром ловить и отправлять на нужный nameserver

вот л7 пока туго дается

я ламер в сетях

Не, я бы точно по bgp с сервера бы адреса выдавал, а потом таблицу бы парзил скриптом. Разные gw выдуманные - разные адрес листы)

кстати да, можно же разбить, а не все в одну кучу сваливать

http://netmate.ru/blogs/moskalev/configure-conditional-forwarding-dns-mikrotik.php

Плюс с бгп - никаких фетчей. Если количество адресов небольшое - будет быстро. И скрипт разбора гонять по шедулеру хоть раз в минуту. Небольшое количество адресов - ну, несколько сотен

Минус - надо роутсервер поднимать)