уже есть стоечный. вы не видели?

неа

Как сделать ограничения скорости ? Помогите, queues не помогает либо я не правильно вбиваю данные

вы расскажите, что вы хотите именно сделать, и что вы делаете для этого.

fastpath включён, может?

Fastpath это где ? Может Вы имели ввиду fasttrack ?

Получается настроил вай-фай

Разделил их на 2 сети

Точнее гостевая и рабочая

Вот, когда качают с гостевой рабочая скорость теряет

Может кто поможет ?)

А вообще круто будет если удаленно ))

Вот, когда качают с гостевой рабочая скорость теряет

ограничить гостевую через queues?

Ага

Вообще хочу ограничить скорость для гостевой

Оставьте им по 1М на вход и на выход например. Или, как когда-то провадйры делали: 1М на вход, 512 на выход.

Сейчас в недомашних сетях с интернетом на рабочем месте беда. С приходом 3g/4g ты режешь вайфай, человек подключается на более быстрый мобильный интернет и придаёт вращение всем правилам и ограничениям…

дык.

может я хочу странного.. но есть ли какая то возможность сделать из микротика mqtt клиент?

Кто то уже здесь этим интересовался. Вроде на гитхабе где то есть решение...

больше сделай

че жалко чтоли

Сейчас в недомашних сетях с интернетом на рабочем месте беда. С приходом 3g/4g ты режешь вайфай, человек подключается на более быстрый мобильный интернет и придаёт вращение всем правилам и ограничениям…

Вымерли все правила и ограничения

никто не вымер все ушли на htb

-)

Вымерли все правила и ограничения

где я работал, тупо отключали USB-порты в биосе. Мыши и клавы только PS/2. Ну и в софте всё зарезано было чтобы не подключали свистки

wifi тоже не было

так что не вымерли а наоборот

Всем привет. Подскажите народ. Что такое established connection (установленные подключения)? Что даст добавление их в firewall?

тот же вопрос и related connection. Что имеется ввиду под этими подключениями?

если я скажу что это особые соединения установленые анунаками из центра плоской земли к нибиру поверишь?

их специально называют установленые и связаные

шифруются

чтоб никто не догадался

Такс-такс

Чёт у меня диссонанс от прайса микротик

если я скажу что это особые соединения установленые анунаками из центра плоской земли к нибиру поверишь?

я чего спрашиваю, потому как и без этих правил мой микротик работает

RB4011 - железо такое же, как в 1100x4

При этом есть sfp+

А стоит дешевле

RB1100 теперь всё, умер?

я чего спрашиваю, потому как и без этих правил мой микротик работает

бывает

бывает

так все таки в чем отличия в работе миктотика с этими правилами и без?

с какими правилами?

установленые это соединения а не правила

Разрешаем установленные подключения add chain=input action=accept connection-state=established add chain=forward action=accept connection-state=established Разрешаем связанные подключения add chain=input action=accept connection-state=related add chain=forward action=accept connection-state=related

взято с инета, описание базовых настроек

дроп в конце пропиши

и увидишь разницу

а так это бесплозено микрот и так их разрешает

А стоит дешевле

Тю. Точка cAP2n стоит дороже RBwAP2nD, хотя по железу они одинаковые, а последняя ещё и как бы уличного размещения.

а так это бесплозено микрот и так их разрешает

вообщем вот список всех правил что там создаются. Разрешаем установленные подключения add chain=input action=accept connection-state=established add chain=forward action=accept connection-state=established Разрешаем связанные подключения add chain=input action=accept connection-state=related add chain=forward action=accept connection-state=related Разрешаем все подключения из нашей локальной сети add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2 Разрешаем входящие подключения для торрента add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000 Обрубаем инвалидные подключения add chain=input action=drop connection-state=invalid add chain=forward action=drop connection-state=invalid Обрубаем все остальные входящие подключения add chain=input action=drop in-interface=ether2 Разрешаем доступ из локальной сети в интернет add chain=forward action=accept in-interface=!ether2 out-interface=ether2 Обрубаем все остальные подключения add chain=forward action=drop

добрый день всем! скажите, как такое может быть: [ramil@BMC] > ping 213.59.153.117 src-address=213.59.153.98 SEQ HOST SIZE TTL TIME STATUS 0 213.59.153.117 56 50 10ms 1 213.59.153.117 56 50 10ms sent=2 received=2 packet-loss=0% min-rtt=10ms avg-rtt=10ms max-rtt=10ms [ramil@BMC] > /tool traceroute 213.59.153.117 routing-table=ISP2 # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS 1 213.59.153.97 0% 1 1.4ms 1.4 1.4 1.4 0 2 172.23.178.113 0% 1 0.6ms 0.6 0.6 0.6 0 3 172.23.180.57 0% 1 0.5ms 0.5 0.5 0.5 0 4 172.23.182.2 0% 1 11.5ms 11.5 11.5 11.5 0 5 172.23.180.9 0% 1 4.8ms 4.8 4.8 4.8 0 6 100% 1 timeout 7 0% 1 0ms

то есть я так понимаю без верхних разрешающих записей нижние записи не дадут нормально работать? Тогда надо исходить от обратного. Если мы преследуем цель защитить нашу сеть, но создаем правила дроп, но чтобы сеть вообще работала, перед дропом надо поставить разрешение. Ок, это понятно. Тогда вопрос про дропы. Что они будут дропать, что подразумевается под invalid connection и под "всеми остальными"?

добрый день всем! скажите, как такое может быть: [ramil@BMC] > ping 213.59.153.117 src-address=213.59.153.98 SEQ HOST SIZE TTL TIME STATUS 0 213.59.153.117 56 50 10ms 1 213.59.153.117 56 50 10ms sent=2 received=2 packet-loss=0% min-rtt=10ms avg-rtt=10ms max-rtt=10ms [ramil@BMC] > /tool traceroute 213.59.153.117 routing-table=ISP2 # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS 1 213.59.153.97 0% 1 1.4ms 1.4 1.4 1.4 0 2 172.23.178.113 0% 1 0.6ms 0.6 0.6 0.6 0 3 172.23.180.57 0% 1 0.5ms 0.5 0.5 0.5 0 4 172.23.182.2 0% 1 11.5ms 11.5 11.5 11.5 0 5 172.23.180.9 0% 1 4.8ms 4.8 4.8 4.8 0 6 100% 1 timeout 7 0% 1 0ms

protocol ICMP укажи

protocol ICMP укажи

так трассировка и так идёт по протоколу ICMP

то что не разрешено

так трассировка и так идёт по протоколу ICMP

хз тогда

Всем привет. Подскажите народ. Что такое established connection (установленные подключения)? Что даст добавление их в firewall?

сетевой экран проверяет каждый пакет, если у тебя много правил , то каждый пакет будет проходить через каждое до совпадения. например каждый пакет на порт 4040, в моём случае, проходит 38 правил https://c2n.me/3WNalnV . чтобы избежать проход по всем правилам для второго и последующих пакетов одного соединения имеет смысл разместить в начале списка правил , правило разрешающее все пакеты которые уже однажды прошли проверку. это и есть est. rel. ну как то так .) Нужно добавить что проверка каждого правила занимает хоть какое то но время, больше правил больше времени. Возможно на скорости 100Мбит это не кретично но на скорости 1000+Мбит кол.правил может влиять на пропускную способность .

пров режет

пров режет

ну вот и я о том же думаю

ну вот и я о том же думаю

protocol UDP попробуй, пройдет не

добрый день всем! скажите, как такое может быть: [ramil@BMC] > ping 213.59.153.117 src-address=213.59.153.98 SEQ HOST SIZE TTL TIME STATUS 0 213.59.153.117 56 50 10ms 1 213.59.153.117 56 50 10ms sent=2 received=2 packet-loss=0% min-rtt=10ms avg-rtt=10ms max-rtt=10ms [ramil@BMC] > /tool traceroute 213.59.153.117 routing-table=ISP2 # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS 1 213.59.153.97 0% 1 1.4ms 1.4 1.4 1.4 0 2 172.23.178.113 0% 1 0.6ms 0.6 0.6 0.6 0 3 172.23.180.57 0% 1 0.5ms 0.5 0.5 0.5 0 4 172.23.182.2 0% 1 11.5ms 11.5 11.5 11.5 0 5 172.23.180.9 0% 1 4.8ms 4.8 4.8 4.8 0 6 100% 1 timeout 7 0% 1 0ms

Оказывается, я - косячник.... маску IP-адреса перепутал.... Спасибо за помощь всем, а особенно @vsmith

Народ подскажите есть ли скрипт аналогичный для noip для динамического адреса? Я юзаю 1 нашел на просторах интернета но он не всегда срабатывает, а sh для дебиана вообще зх как работает ну с кансоли ее не настроить

Просто облако не хочется давать малоли мне надоест сайты держать а облако еще держится

так вы cname пропишите на облачный адрес, да и всё.

ERROR: S client not available

Да? А что там можно?

там - это где? )

На noip.com

на своём домене уж

О интересно спасибо буду пробовать, теперь я себя вупсенем считаю

сетевой экран проверяет каждый пакет, если у тебя много правил , то каждый пакет будет проходить через каждое до совпадения. например каждый пакет на порт 4040, в моём случае, проходит 38 правил https://c2n.me/3WNalnV . чтобы избежать проход по всем правилам для второго и последующих пакетов одного соединения имеет смысл разместить в начале списка правил , правило разрешающее все пакеты которые уже однажды прошли проверку. это и есть est. rel. ну как то так .) Нужно добавить что проверка каждого правила занимает хоть какое то но время, больше правил больше времени. Возможно на скорости 100Мбит это не кретично но на скорости 1000+Мбит кол.правил может влиять на пропускную способность .

не установленые это не "которые прошли проверку", это установленые

кстати порты можно указывать через запятую в одном правиле

Да

Если это вопрос

Но не везде если на адвер то он ругается

те кто знают что такое est. rel. в объяснениях не нуждаются . а человечкским языком у меня вот так получилось , предложи алтернативу да, знаю. это для визуал. по портам.

одно вместо 38

этож в 38 раз быстрее фаервол работать будет

особенно для 1000+

Вот тут про состояния соединений, и про то, как фаервол их определяет https://ru.wikibooks.org/wiki/Iptables#conntrack_2 https://www.reddit.com/r/linux/comments/6q4aru/how_does_the_related_state_in_iptables_really_work/

Вот это ещё https://home.regit.org/netfilter-en/secure-use-of-helpers/

ну и в одной картинке https://packetmasters.files.wordpress.com/2016/04/connection.jpg чего уж там

дада я просто не пользуюсь ни реалатед ни инвалид все валится в дроп

а причём тут дроп?

ну дроп инвалид это доп правило

производительность упадет

а так одним дропом все

нет, не понятно, скрин или /ip frewall filter export .)

Помогите, пожалуйста настроить VLAN. С Микротика отдаю vlan на порт, дальше стоит свитч d-link des-1210-28, настроил на нем адрес для доступа. Как мне тегированный VLAN 2 принять на первый порт и передать на 28? Это надо делать через 802.1Q VLAN или через PORT-based VLAN? Хочется не потерять доступ к железке и не вырубить пользователей. Спасибо!

82 итема

мозг закипить

я уже не понимаю как это работатет ?

у меня 60, не закипит .)

Помогите, пожалуйста настроить VLAN. С Микротика отдаю vlan на порт, дальше стоит свитч d-link des-1210-28, настроил на нем адрес для доступа. Как мне тегированный VLAN 2 принять на первый порт и передать на 28? Это надо делать через 802.1Q VLAN или через PORT-based VLAN? Хочется не потерять доступ к железке и не вырубить пользователей. Спасибо!

через 802.1Q VLAN

ну у тебя их не 60 там для визуализации и логов и для просадки производительности на каждый чих по 3 правила

-)

колотун нарисуй схему плиз