/ip firewall filter export where chain=forward

where - ругается

Однако, мистика

вот прекрасно работает

тьфу

/ip firewall filter print where chain=forward

print, не export

да, попутал маненько

да, попутал маненько

Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward action=accept src-address=192.168.27.0/24 out-interface=ether1 log=no log-prefix="" 1 chain=forward action=accept dst-address=192.168.27.0/24 in-interface=ether1 log=no log-prefix="" 2 chain=forward action=drop log=no log-prefix=""

в правиле №1 добавьте connection-state=established,related

но это всё же маловероятно...

а /ip proxy print шо ? не включено ли?

0 chain=forward action=accept src-address=192.168.27.0/24 out-interface=ether1 log=no log-prefix="" 1 chain=forward action=accept connection-state=established,related dst-address=192.168.27.0/24 in-interface=ether1 log=no log-prefix="" 2 chain=forward action=drop log=no log-prefix="" сделал, начали пакеты дропаться

а /ip proxy print шо ? не включено ли?

/ip proxy print enabled: no src-address: :: port: 8080 anonymous: no parent-proxy: :: parent-proxy-port: 0 cache-administrator: webmaster max-cache-size: unlimited max-cache-object-size: 2048KiB cache-on-disk: no max-client-connections: 600 max-server-connections: 600 max-fresh-time: 3d serialize-connections: no always-from-cache: no cache-hit-dscp: 4 cache-path: web-proxy1

это что за пусто-пусто?

надо кому то? кто из Украины

ты же обещал человеку отправить. или он так и не вышел на связь?

выкидывать жаль. бывают 2011L без корпуса

вышел он но он из Рашки

6 баксов жлобит за посылку?

хз. он не предлагал,

А стоимость лицензии считали? Дешевле выйдет купить hAP Light за 20$

31.222.36.0 это сеть провайдера

о, так там не один такой?

а ну пробей МАС в этих пакетах

о, так там не один такой?

нет. они рандомно меняются

а ну пробей МАС в этих пакетах

как?

может у прова намутили и на тебя трафик шлют шлюзом

как?

tools-packet snifer и задай критерий нужный и там будет кнопочка packets , посмотрить что в каждом пакете захваченом

может провайдер ошибочно выдавать пользовательский адрес в кач-ве шлюза через DHCP/PPPoE ?

может провайдер ошибочно выдавать пользовательский адрес в кач-ве шлюза через DHCP/PPPoE ?

ну тогда бы трафика было сильно больше

может чего в PBR у провайдера намутили

/ip firewall filter add in-interface=ether1 out-interface=ether1 action=drop chain=forward

вот так уж должно дропнуть

А аплинк точно ether1 зовётся, а не pppoe-out1, например?

/ip firewall filter add in-interface=ether1 out-interface=ether1 action=drop chain=forward

и в самый верх это правило

А аплинк точно ether1 зовётся, а не pppoe-out1, например?

точно, просто на ether1 статический адрес руками прописан и все

Троян, если никто не откликнется то высылай мне, будет в колекции ?

точно, просто на ether1 статический адрес руками прописан и все

а прокси-арп нигде у вас не включен?

Троян, если никто не откликнется то высылай мне, будет в колекции ?

Я подумал, что оно того не стоит, учитывая что я эти корпуса буквально за углом могу так же бесплатно забрать)

какие каналы надо юзать на 5 мгц?

чтоб не было пересечений

Троян, если никто не откликнется то высылай мне, будет в колекции ?

пиши куда)

вот на 2мгц - 1 - 6 -11 каналы

а на 5?

всем привет! Ребят, помогите понять. На WAN порту я вижу трафик, который только на самом порту. То есть он не входящий, не исходящий и не проходящий. Если посмотреть в Torch, то я вижу этот трафик, вижу источник и назначение, но ни тот ни тот адрес не являются адресом wan порта, но адрес назначения является адресом подсети провайдера. Трафик в районе 3-5 мб/сек, но жутко влияет на работу интернета в целом. Я его ни отсечь не могу, ни объяснить провайдеру, что я вижу, тоже не могу.

А город какой? в смысле не Уфа случаем? Просто у меня была один в один такая ситуация и я не мог фаерволлом заблокировать ничего В моём случае помогли звездюля провайдеру, у которого смартовый свич сошёл с ума и пихал трафик от одного клиента во все порты...

судя по IP, воронежский Телесервис

его и не заблокировать никак... dst-address не твой... мне даже RAW-фильтр не помог, а трафика кидало на порт аж 6-7 Мбит

капец, какая-то беда

если dst чужой, то форвард же должен работать

если dst чужой, то форвард же должен работать

так он просто валит на порт... не через тебя.. forward тут не помог... мне по крайней мере

на скриншоте, причём, идут ответы от сервера клиентам через него. Не знаю, есть ли в обратную сторону

у него там destination везде рандомные порты, а source - 80, 443

то есть, это NAT...

А может быть, что свич провайдера глюкнул и зеркалит всё на порт пользователя?

а arp-таблицей там какой-нибудь глюк

А может быть, что свич провайдера глюкнул и зеркалит всё на порт пользователя?

может и такое быть, у меня так было, IPSec валил мне на порт с чужого адреса

Почему у меня туннель не поднимается? В логах такое: 11:15:22 l2tp,ppp,info toBMC_GreenpointL2TP: initializing... 11:15:22 l2tp,ppp,info toBMC_GreenpointL2TP: connecting... 11:15:46 l2tp,ppp,info toBMC_GreenpointL2TP: terminating... - session closed 11:15:46 l2tp,ppp,info toBMC_GreenpointL2TP: disconnected 11:15:47 l2tp,ppp,info toBMC_GreenpointL2TP: initializing... 11:15:47 l2tp,ppp,info toBMC_GreenpointL2TP: connecting... 11:16:11 l2tp,ppp,info toBMC_GreenpointL2TP: terminating... - session closed 11:16:11 l2tp,ppp,info toBMC_GreenpointL2TP: disconnected

а на другой стороне логи?

Всем привет, на микрот от провайдера приходит несколько белых адресов, есть элегантное решение в зависимости от подсети пользаков выпускать их в инет под определенным IP?

а на другой стороне логи?

а там просто установка туннеля IPSec и всё

Всем привет, на микрот от провайдера приходит несколько белых адресов, есть элегантное решение в зависимости от подсети пользаков выпускать их в инет под определенным IP?

да, в ip-firewall-mangle в зависимости от подсети выполнять action=src-nat to adress="НУЖНЫЙ АДРЕС НА ВАН" Это если адреса все висят на одном ВАН-порту

Всем привет, на микрот от провайдера приходит несколько белых адресов, есть элегантное решение в зависимости от подсети пользаков выпускать их в инет под определенным IP?

растыкать по разным портам от тупого свича))

растыкать по разным портам от тупого свича))

нее, в разную подсеть серую они будут попадать поднимая pptp из локалки

Если видишь чужой траф - все равно вина провайдера. Лучше с ними поговорить.

вири могут быть)

ну так это все входящий трафик, вы же ничего не передаете обратно, по идее нормально отсекается) только на Ipsec передаете. если трафик будет валить, вы даже при блокировке будете его видеть, но это не значит что он у вас будет ходить внутри, видимо какая-то гадость в сетке провайдера, типа трояна который пытается ломать

нее, в разную подсеть серую они будут попадать поднимая pptp из локалки

тогда на фиг белые адреса.. не понял

тогда на фиг белые адреса.. не понял

Надо чтобы пользователь мог под разными белыми адресами светиться в инете

Надо чтобы пользователь мог под разными белыми адресами светиться в инете

а что мешает сети разделить и разными айпишниками вывести их в интернет

Должна быть возможность у пользователя самостоятельно менять IP с корторого хочет выйти в инет

Под одинм логином подключился - один внешний IP, под другим - другой

не подключился к пптп, под общим

Под одинм логином подключился - один внешний IP, под другим - другой

во у вас замуты

ну цель то в принципе не особо важна

есть задача, надо решать))))

это походу легкая наркомания )

ну все жеж просто

есть несколько контор

а бухгалтер один

доступ в интернет банк зарезан по IP

а договорится с банком? )

это походу легкая наркомания )

никакой нркомании, экономия на налогах

а договорится с банком? )

Не катит еще в силу того, что для налоговой подозрительны операции с одного внешнего IP

так вы фактически в своём рассуждение дали ответ на свой вопрос )

для налоговой подозрительны даже операции с одного серого ip, принадлежащего vpn провайдера

юзеру pptp привяжите ip и его заворачивайте в нужный белый

src-nat

юзеру pptp привяжите ip и его заворачивайте в нужный белый

это да, промапили пакеты, в нужный роут-мап завернули - ииии

не работает

я так понял не про мапили а промаркировали через мангл?

несколько мелких vpn сделать, с разными внешними ip и пускай юзер подключается по мере надобности

т.е. бух не может быть приходящим и работаь из дому + поддерживать несколько предприятия прям из дому ... с одного IP?

я так понял не про мапили а промаркировали через мангл?

ага

Вы опять про 1 ip и кучу контор? Чёс всё это