https://habr.com/post/134638/

ipv4 не продакшен интернет

вот, кстати, из заголовка статьи отлично читается ответ на вопрос, почему нужно юзать фильтры, а не манглы для этих целей

хап ац2 не домашний рухтор )

хап ац2 не домашний рухтор )

самба не протокол передачи файлов (по мнению микротик)

вот, кстати, из заголовка статьи отлично читается ответ на вопрос, почему нужно юзать фильтры, а не манглы для этих целей

да какие манглы? обычный дроп в прероутинге, в правиле нет никах мнглов

самба не протокол передачи файлов (по мнению микротик)

депрекейтед и легаси, онли nfs

я этого не знаю. мы не видим action - это первое второе - правило добавляется в таблицу mangle, что видно на скрине

депрекейтед и легаси, онли nfs

смб 3.0 сейчас покруче нфс

но микротик об этом не знает

все думы о удп в опенвпн

я этого не знаю. мы не видим action - это первое второе - правило добавляется в таблицу mangle, что видно на скрине

верно, мангал

все думы о удп в опенвпн

думаю что рос7 все таки покажут

на муме в мсокве?

еще раз - парень. ты страдаешь херней. фильтрование манглами нужно делать предельно осознанно с пониманием вопроса - это не твой случай. добавь это правило в таблицу фильтр. но пока вообще неясно - чего ты хочешь добиться

покажите плз правило полностью, обычно блокируют не дст нат коннекты из локалки прова, указывая соответвующий ин-интерфейс add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1

чем побери, почему нет культуры делать export правила для вычитки полного контекста, а не обрывками - "у меня вот тут что-то - я это не понимаю, но вы должны за меня понять"

Верхоловы

автор скриншота - ты чего хочешь? заблокировать входящие пакеты по dst-nat цепочке? от провайдера к юзерам? вопрос - не проще ли тогда создать list доверенных адресов, которые могут делать подобный dst-nat? его и подставлять в правила dst-nat как src-address list соответственно, не будет других условий, чтобы пакеты проходили. тебе кпу не жалко заниматься ненужными маркировками? тем боллее, что если потом будешь настраивать динамическую маршрутизацию между провайдерами - вообще чокнешься с приоритетами и разрулом куда что

хап ац2 не домашний рухтор )

эт шутка?

зачем тогда вообще создавать правила dst-nat, чтобы потом их блокировать?

давай-давай. я вытащу из тебя клещами задачу.

Дропать ВСЁ приходящее из ISP

алилуя. расходимся

нет интернета - нет проблем с фильтрами

слушай. ну не обижайся. правда, формулировка твоя тугая. нет понимания вопроса

если ты хочешь закрыть юзеров от левых обращений по dst-nat

то просто используй src-addr листы в nat

это будет означать, что все кто не доверенный - к юзерам не попадет

нет интернета - нет проблем с фильтрами

Так именно этого и хочет "заказчик" ?

ты меня спрашиваешь?!!!

я не знаю

так. смотри.

нужно понимать, что если у тебя нет dst-nat правил в таблице nat

то открою тебе страшный секрет - нет никакого смысла в твоих правилах. вообще

потому что не будет пакетов, которые будут попадать под это условие (ну может, и будут, но сами пакеты никуда не придут anyway)

Доброго времени суток Очень нужна помощ болбесу(мне) суть заключаеться в чем подключаюсь микротом к expressvpn (не реклама) и после чего я не могу достучаться на вебморду микрота по внешнему ип адресу

в чем может быть траблы?

в маршрутизации

или в фильтрах, или в адресах, или в чем угодно

в чем может быть траблы?

он обратно скорее всего в туннель отвечает

а кого можно немного в личку по достовать чтоб взглянули и дали пинка в каком направлении размышлять?

где ты хочешь морду увидеть? на том айпишник, С КОТОРОГО ты делаешь подключение к впн?

или тот, КОТОРЫЙ тебе выдает сервис впн?

об чем речь-то будет

самое вероятное в том, что при подключении впн - тику назначается дефолтный маршрут через сервис впн, а это значит, что он перестает реагировать на пакеты, приходящие по основному маршруту дело житейское и поправимое. вот где как раз и нужны манглы

самое вероятное в том, что при подключении впн - тику назначается дефолтный маршрут через сервис впн, а это значит, что он перестает реагировать на пакеты, приходящие по основному маршруту дело житейское и поправимое. вот где как раз и нужны манглы

Роутить маркированные пакеты?

ну я обычно использую connection маркировку

можно и пакеты сперва маркировать

как пожелаешь

он обратно скорее всего в туннель отвечает

вот, собственно, человек лаконично всё сказал (и более корректно, чем я)

как пожелаешь

Желаю, штоб фсё само куда надо ровтилось

да я хочу доступ к клиенту впн т.е. 10.0.0.10-адрес внешний 50.0.0.50 адрес который я получил в впн-е на впн стучаться не актуально в сервисе стоят линукс сервера и по любому я не могу достучаться до ип 10.0.0.10 (белый адрес провайдера клиента) я не могу даже когда с другого пк (сервер стоящий в другом месте) пытаюсь пингануть свою белый ип даже пинг не идет

господа что за херня? /system scheduler set shedule2 disabled=yes в терминале не работает. и ошибок не выдает

Желаю, штоб фсё само куда надо ровтилось

плати =)

форвард

/system scheduler disable shedule2 тоже

да я хочу доступ к клиенту впн т.е. 10.0.0.10-адрес внешний 50.0.0.50 адрес который я получил в впн-е на впн стучаться не актуально в сервисе стоят линукс сервера и по любому я не могу достучаться до ип 10.0.0.10 (белый адрес провайдера клиента) я не могу даже когда с другого пк (сервер стоящий в другом месте) пытаюсь пингануть свою белый ип даже пинг не идет

ой ё... рисуй схему

понимаю что офтоп но покритикуйте D-Link DGS-1100-08 как управляемый коммутатор для дома в связку к микротику 750gr3...

нас снова 2кк

нас снова 2кк

2к

плати =)

О, тут желающих хоть отбавляй. Толку то

ERROR: S client not available

Подскажите пожалуйста правила маршрутизации. Требуется заблокировать доступ из вне на определенный порт: 5111 на определенный IP машинки. Буду очень благодарен.

2к

да, мисклик. еще не проснулся

О, тут желающих хоть отбавляй. Толку то

да я не о себе. хочешь, чтобы само - или делай сам, или плати

да я хочу доступ к клиенту впн т.е. 10.0.0.10-адрес внешний 50.0.0.50 адрес который я получил в впн-е на впн стучаться не актуально в сервисе стоят линукс сервера и по любому я не могу достучаться до ип 10.0.0.10 (белый адрес провайдера клиента) я не могу даже когда с другого пк (сервер стоящий в другом месте) пытаюсь пингануть свою белый ип даже пинг не идет

https://habr.com/post/313342/ рекомендую понять и осознать всё, что описано для настройки mangle там как раз об этом - как создать несколько маршрутов и правильно разрулить пакеты туда-сюда

понимаю что офтоп но покритикуйте D-Link DGS-1100-08 как управляемый коммутатор для дома в связку к микротику 750gr3...

дорогой для дома

да я не о себе. хочешь, чтобы само - или делай сам, или плати

Теряется весь смысл желания - само?

Теряется весь смысл желания - само?

зато приходит понимание ?

или как работает, или что само ниче не бывает

альтруисты еще бывают

или как работает, или что само ниче не бывает

А как же технология PnP?

кто-то же пишет годные статьи для хабра

дорогой для дома

а на что посмотреть с vlan_нами?

кто-то же пишет годные статьи для хабра

Боты ?

я бы рекомендовал на ебэе/авито поискать циски типа 2960 бу

я бы рекомендовал на ебэе/авито поискать циски типа 2960 бу

Нетгиры ещё мне нравятся

ничего сказать не могу. не юзал. может быть, может быть

понимаю что офтоп но покритикуйте D-Link DGS-1100-08 как управляемый коммутатор для дома в связку к микротику 750gr3...

у меня такой (портов только побольше) в филиале стоит. вроде норм. но вланы не используются там

понимаю что офтоп но покритикуйте D-Link DGS-1100-08 как управляемый коммутатор для дома в связку к микротику 750gr3...

1210-10/ME есть, дома работает шикарна. Но в сеть я бы конечно его не поставил

Кстати, один из них продаю)

ничего сказать не могу. не юзал. может быть, может быть

Юзал и не раз, правда не для сети, а больше для AVB

у меня такой (портов только побольше) в филиале стоит. вроде норм. но вланы не используются там

вроде заявлено, что есть 802.1Q

Подскажите пожалуйста правила маршрутизации. Требуется заблокировать доступ из вне на определенный порт: 5111 на определенный IP машинки. Буду очень благодарен.

не совсем понятно, у тебя на каждую машинку уже разрешен доступ из-вне по этому порту ?

Да, порт не заблочен. Хочу закрыть из WAN но по остальныи интерфейсам работал

так а правило "если входящий ван и протокол и порт то дроп" не подходит ?

Недавно обновился с bugfix до current, и не могу с winbox пингануть адрес дефолтного бриджа, хотя в фаерволе исходящие с бриджа разрешены. От какого интерфейса по дефолту идут пинги?

спасибо всем, подумаю

так а правило "если входящий ван и протокол и порт то дроп" не подходит ?

цепочку форварда еще не забудь

ага забыл, точнее и так же понятно .)

нам. не ему