Прежде всего, убавить tcp-established-timeout хотябы до 20 минут

эт ж дефолт

Таки дефолт

как они этот дефолт оправдывают? 1 сутки без пакетов? соединение?

как они этот дефолт оправдывают? 1 сутки без пакетов? соединение?

А что в этом такого? Это ж не висящий инвалид

А что в этом такого? Это ж не висящий инвалид

должно неприменно привести к переполнению таблиц если пользоватья торрентами и подобными протоколами.

ну или вирусное сканирование

надо сравнить с Эталонным Линуксом. щяс.

должно неприменно привести к переполнению таблиц если пользоватья торрентами и подобными протоколами.

Так не надо открывать торрентам адреса 1-65535

А ограничивать диапазон

ну или вирусное сканирование

А файрвол для чего?

А файрвол для чего?

хз. я не использую.

В торрент-клиентах настраивается макс кол-во соединений.

по статистике и контролю доступа к страницам наткнулся на такой сервис http://rejector.ru/

В районе 500 в юторрент дефолт, вроде

может кто пользовался ?

хз. я не использую.

Логин+пароль тоже дефолтные? ?

хз. я не использую.

Ощущения не те?

Ощущения не те?

???

в Италонном Линуксе 3.8 это значение в 5 суток. ну ок.

получается, они тоже не поняли нахрена так и осмелились только в 5 раз уменьшить

я помню в dir-320 в какой-то прошивок поменяли этот таймаут по-моему до 3 или даже 1 минуты. вот решили и поменяли. как раз потому что домашние пользователи любят торенты

я помню в dir-320 в какой-то прошивок поменяли этот таймаут по-моему до 3 или даже 1 минуты. вот решили и поменяли. как раз потому что домашние пользователи любят торенты

Dir-320? А разве бот не должен кикать пользователей, пишущих ЭТО? ?

Dir-320? А разве бот не должен кикать пользователей, пишущих ЭТО? ?

просто в длинке настоящие программисты. Решили - отрезали.

Ага, а в циске так, насрано

написано что ip nat translation tcp-timeout - 24 часа

это конечно американская экономическая диверсия

Прежде всего, убавить tcp-established-timeout хотябы до 20 минут

А остальные значения не крутить ?

Главное - это

Иначе в некоторых системах таблица трекера может переполниться и/или вылазят глюки. На 6.3х вплоть до перезагрузки было.

А как тогда бороться с некорректной работой туннеля GRE+ IPsec ? Глюк такой: IPSec поднимается, но GRE, похоже, нет

А как тогда бороться с некорректной работой туннеля GRE+ IPsec ? Глюк такой: IPSec поднимается, но GRE, похоже, нет

так это может не у вас НАТ

так это может не у вас НАТ

А у кого? Роутеры оба под моим ведомством

А у кого? Роутеры оба под моим ведомством

ну тогда (для ощущений) надо проверить не заблокирован ли он?

ну тогда (для ощущений) надо проверить не заблокирован ли он?

Что именно?

я чтото не уловил как от GRE перешли к таймаутам tcp

Что именно?

ну, GRE - это другой протокол. он не tcp и не udp. вы могли все разрешить и как будто бы все работает. Но GRE - нет. даже провайдеры регулярно забывают об этом

по статистике и контролю доступа к страницам наткнулся на такой сервис http://rejector.ru/

юзал, вполне себе хороший сервис

во времена когда еще не умел в микротик им собственно и рулил правила доступа

лет 6 назад

а никто TOR к микротику не прикручивал?

ну, GRE - это другой протокол. он не tcp и не udp. вы могли все разрешить и как будто бы все работает. Но GRE - нет. даже провайдеры регулярно забывают об этом

Он работает, но, при обрыве связи или если выкл/вкл интерфейс, обратно не поднимается. При этом IPSec нормально работает. Если отключить интерфейс GRE, очистить коннекты и потом поднять - работает. Николай говорил, что надо разрешить GREв фаерволле, это не помогло

Он работает, но, при обрыве связи или если выкл/вкл интерфейс, обратно не поднимается. При этом IPSec нормально работает. Если отключить интерфейс GRE, очистить коннекты и потом поднять - работает. Николай говорил, что надо разрешить GREв фаерволле, это не помогло

Не DualWAN случайно?

Не DualWAN случайно?

Он самый

Никто не подумывал забанить всякие пакистаны, афганистаны ну и т.д.? Страны где в принципе не будет тех сайтов на которых мы сидим, ну и соответсвенно отключить весь левый трафик.

Разрешение в фаерволе, насколько я помню, достаточно с одной стороны.

Он самый

Одновременно оба работают?

Никто не подумывал забанить всякие пакистаны, афганистаны ну и т.д.? Страны где в принципе не будет тех сайтов на которых мы сидим, ну и соответсвенно отключить весь левый трафик.

с периодичностью в месяц поднимается эта тема. погугли ее тут

Разрешение в фаерволе, насколько я помню, достаточно с одной стороны.

С обеих сторон разрешено

Он работает, но, при обрыве связи или если выкл/вкл интерфейс, обратно не поднимается. При этом IPSec нормально работает. Если отключить интерфейс GRE, очистить коннекты и потом поднять - работает. Николай говорил, что надо разрешить GREв фаерволле, это не помогло

тогда наверное generic timeout. сколько у вас?

с периодичностью в месяц поднимается эта тема. погугли ее тут

а понял)

10 минут

Каналы работают в режиме резервирования или балансировки?

Каналы работают в режиме резервирования или балансировки?

Резервирование

с периодичностью в месяц поднимается эта тема. погугли ее тут

так а вкратце?)

10 минут

и трафик вообще там ходит активно или спят все? а еще по дороге nat-ы есть?

Никто не подумывал забанить всякие пакистаны, афганистаны ну и т.д.? Страны где в принципе не будет тех сайтов на которых мы сидим, ну и соответсвенно отключить весь левый трафик.

С существующей точностью geoip это было бы несколько странно.

Тогда не то, что я подумал. Для балансировки есть своя специфика при настройке NAT.

и трафик вообще там ходит активно или спят все? а еще по дороге nat-ы есть?

Трафик бегает постоянно, ибо на одной из сторон БД

С существующей точностью geoip это было бы несколько странно.

хм, а что с ней ? есть пул адресов выданный, разве нет?

так а вкратце?)

в кратце есть сайты со списками адресов всех локаций. их надо парсить и добавлять в блек листы

Вообще не очень понимаю, откуда страсть к блокировке стран

хм, а что с ней ? есть пул адресов выданный, разве нет?

Кому выданный? Его ж не на страну выдают.

Вообще не очень понимаю, откуда страсть к блокировке стран

что бы ребята из северной кореи не передавали привет моим домашник компам, как вариант

Вообще не очень понимаю, откуда страсть к блокировке стран

телевизор нагнетает)

Вообще не очень понимаю, откуда страсть к блокировке стран

паранойя

паранойя

Ну тогда дефолтный файрвол микротика - и никаких серверов в домашней сети.

паранойя

1мб на вход и 1 мб на выход в сутки с обычной домашней сетки в Китай

ERROR: S client not available

это не паранойя а статистика)

у меня например идет перебор паролей к почтовому серверу с тайланда. сотни попыток в минуту

на самом деле это выгодно. в cloudflare есть блокировка стран все равны но некоторые равнее

что бы ребята из северной кореи не передавали привет моим домашник компам, как вариант

Ребята из северной Кореи пользуются международными ботнетами уже давно.

Попробуйте в качестве правила NAT установить action=src-nat, если у вас стоит Маскарад.

тогда наверное generic timeout. сколько у вас?

Сделать меньше?

1мб на вход и 1 мб на выход в сутки с обычной домашней сетки в Китай

плюс один минус один из 100 - пох

баню при 2х неверных попытках. так начали делать по 1 попытке

плюс один минус один из 100 - пох

пох обычно больно) если этот трафик идет в оба направления) значит в нем есть что-то что касается меня лично

Сделать меньше?

для эксперимента даже побольше. но нет уверенности что в нем дело. он же обновляется когда данные получает новые. так что с ЧУЖИМ натом? там есть еще провайдеры и натилки?

у меня например идет перебор паролей к почтовому серверу с тайланда. сотни попыток в минуту

а у меня после 3х попыток отправляюся в бан на 3 суток и делов то

Попробуйте в качестве правила NAT установить action=src-nat, если у вас стоит Маскарад.

А при чём тут исходящий трафик от роутера и срц-нат?

а у меня после 3х попыток отправляюся в бан на 3 суток и делов то

я на 7 дней баню, они начали делать по 1 попытке

у меня например идет перебор паролей к почтовому серверу с тайланда. сотни попыток в минуту

Авторизуйте клиента сертификатами, щас вроде можно.

с разны ip адресов

Авторизуйте клиента сертификатами, щас вроде можно.

почтовик авторизовать сертификатами?

это как

для эксперимента даже побольше. но нет уверенности что в нем дело. он же обновляется когда данные получает новые. так что с ЧУЖИМ натом? там есть еще провайдеры и натилки?

Нет, 2 белых айпи, 2 моих роутера

А при чём тут исходящий трафик от роутера и срц-нат?

Не в попад ответил.

Нет, 2 белых айпи, 2 моих роутера

не гарантия. провайдеры даже в этом случае умудряются сделать нат

Нет, 2 белых айпи, 2 моих роутера

IP прямо на интерфейсе розданы?

пох обычно больно) если этот трафик идет в оба направления) значит в нем есть что-то что касается меня лично

RJ-45, полагаю, в розетку ISP воткнут через презерватив? а то мало ли что там...

Что может быть если микрот на ровном месте отказывается клиентиться к l2tp и это без ipsec

это как

Это точно так же. Погуглите mail client certificate authentication

Неделю может работать а потом перестать

IP прямо на интерфейсе розданы?

Угу

RJ-45, полагаю, в розетку ISP воткнут через презерватив? а то мало ли что там...

ну в принципе на земле много кто свято верит что ВИЧ не существует, ну и презиками не пользуется в принципе ?

ну в принципе на земле много кто свято верит что ВИЧ не существует, ну и презиками не пользуется в принципе ?

вот кстати нет ни одного знакомого потерпевшего

у вас есть такие знакомые?

я на 7 дней баню, они начали делать по 1 попытке

Используйте SIEM или XBL от SpamHaus

у вас есть такие знакомые?

у меня нет, но я знаю знакомых у которых знакомые да

что бы ребята из северной кореи не передавали привет моим домашник компам, как вариант

Ну и ещё. У конторы, где я работаю, например - несколько автономок и несколько диапазонов. И только один считается этими геоип базами российским.