никогда не пользовался данной фишкой

там только запрещать

если сети на разных интерфейсах, то в фаерволе можно оперировать не адресами а in-interface out-interface

если сети на разных интерфейсах, то в фаерволе можно оперировать не адресами а in-interface out-interface

спасибо большое. попробуем щас

шизофрения

Просто я не придумал лучше способа, чтобы обходить блокировочки

шизофрения

почему?

Выгружаю листы роскомпозора, обрабатываю их, и скармливаю микроту

Потому что шизофрения пишется через и

Потому что шизофрения пишется через и

Тоже верно

а так хз, я только по орфаграфии

а так хз, я только по орфаграфии

Тогда понятно

Вообще лучше через маршрутизацию. Через бгп передавать список сетей

Вообще лучше через маршрутизацию. Через бгп передавать список сетей

Видел. Но что-то решил не выеживаться особо. И все листами запихнул в микрот. Т.е если микрот видит что адрес есть в списке, он просто кидает в впн тунель

И все

спасибо большое. попробуем щас

пока принимал душ, пришла еще одна идея, для блокировки через фаервол всего 1-м правилом в фаерволе

нужно создать interface list куда поместить интерфейсы сетей, эзер2, 3, 4, и потом создать правило forward drop и в in inetrface list и out interface list указать созданный лист

сам не пробовал, но по идее должно рабоать

сам не пробовал, но по идее должно рабоать

напиши в виде командной строки

/interface list add name=lan-drop /interface list member add interface=vlan5-1-home list=lan-drop add interface=vlan5-8-free list=lan-drop /ip firewall filter add action=drop chain=forward in-interface-list=lan-drop out-interface-list=lan-drop src-address-list=""

без src-address-list=""

если появится еще 1 или несколько сетей, их просто добавить в список интерфейсов lan-drop

Приветствую всех, может ли кто подсказать в столь для меня лично не понятном вопросе. Имеются два микротика 1 192.168.1.11 2 192.168.1.12 На них настроен VRRP, ip адрес 192.168.1.1, мастером выступает первый микротик. Такой вопрос, почему я не могу попасть на slave микротик то есть 192.168.1.12 из LAn, так же он не пингуется. Из микротика он тоже не пингуется.

кто знает, по каким причинам ospf может не видеть соседних микротов?

повышенная безопасТность в файрволле?

повышенная безопасТность в файрволле?

Ж)

а тебе прямо все100к нужны?

а тебе прямо все100к нужны?

листы роскомпозора

а то заходишь на сайт, и бац, заглушка провайдера

Ну там на самом деле просто 90% это таки овно.

я бы просто наполнял последовательно.

Это да. Но никогда не узнаешь, что именно нужно

чем лить себе 100к роутов

У меня софтверный микрот

да этож пофиг :)

У которого 2 гигабайта оперы, и 4 ядра процов зеонов выделено

И живет он на ссд:)

Так что, хоть 1кк

+ у меня около 80к записей блокировки рекламы

на уровне днс

А не проще adguard dns взять?

А не проще adguard dns взять?

не проще. им в голову ченить стрельнет, они куда нибудь редирект сделают

+ хз что у них за листы

+ я это в ентерпрайзе использую

и не хотел бы что-то закрытое стороннее подключать

к тому же я точно знаю что у меня на днс все идет на 127.0.01

Они возвращают пустой ответ

Сегодня возвращают пустой ответ

Ну да

А завтра редирект на свою рекламу

или еще чего

Приветствую всех, может ли кто подсказать в столь для меня лично не понятном вопросе. Имеются два микротика 1 192.168.1.11 2 192.168.1.12 На них настроен VRRP, ip адрес 192.168.1.1, мастером выступает первый микротик. Такой вопрос, почему я не могу попасть на slave микротик то есть 192.168.1.12 из LAn, так же он не пингуется. Из микротика он тоже не пингуется.

Ребят, кто знает? Кто поможет?

в ентерпрайзе это не доспустимо, имхо

Для ентерпрайза, наверное, не стоит

Дома можно

для дома бы я бы и поставил ?

но, я параноик

дома у меня такой же костыль

для днса

А выгружаешь куда-нибудь свои записи?

Не-а. Но я делал по скрипту

Сейчас найду и скину

А выгружаешь куда-нибудь свои записи?

https://stopad.cgood.ru/

Не, я в том плане чтобы использовать список рекламы

Ага, понял, спасибо

Огромный плюс их в том, что у них сырцы на гитхабе лежат. Если хочешь, можешь на своем сервере поднять:)

Удобная штука. + я еще туда скормил кучу листов всяких майнейрских пулов и прочего скама

В конторе сразу проще стало дышать

Ну и в добавок добавил туда всякие говнобраузеры от говнояндекса и мейл сру. Чтобы пользователи этим мусором никак заразить компы не могли

Хотя с удовольствием бы вообще кинул всю подсеть мейл сру и говнояндекса в блок. Но увы и ах.

Интересно, а будет ли быстрее работать если всё это в фаервол засунуть вместо днс?

А смысл?

днс так же удачно справляется. не нагружая особо проц микрота

Народу на ДНС сидит около 300+

На листы роскомпозора около 50-60 человек

ДНС имеет преимущество - запросы кэшируются на клиенте, а в случае файрволла весь трафик попрет через него. Вопрос только в таймаутах на 127.0.0.1

ДНС имеет преимущество - запросы кэшируются на клиенте, а в случае файрволла весь трафик попрет через него. Вопрос только в таймаутах на 127.0.0.1

Говорят можно вообще сделать 0.0.0.0

Смысл в том, что это можно запустить на более слабом микроте

Говорят можно вообще сделать 0.0.0.0

не стоит.

И будет моментально “ответ” не получать

Смысл в том, что это можно запустить на более слабом микроте

Можно:) просто у меня основная нагрузка из за маршрутизации листов блокировок

И днс у кого-то может другой стоять

pihole вроде так и делает

Домашний

не стоит.

Почему?

Чувствует себя с днс отлично

17к вроде не много, я как-то залил 60 или 100к в статик DNS микротика, еле оживил его потом :), отказался от этой идеи :)