вы из одной конторы чтоли?

Нет. Я остальных уродов даже не знаю ?

Нет. Я остальных уродов даже не знаю ?

зачем тогда мне отвечаешь про устройство сети Ивора?

например у тебя роутер на 5 портов. а сетей стало надо 7. как будешь делать?

Ставить коммутатор второго уровня управляемый с поддержкой VLAN

зачем тогда мне отвечаешь про устройство сети Ивора?

Потому, что бест практикс везде идентичен.

Ставить коммутатор второго уровня управляемый с поддержкой VLAN

ты походу кроме моих сообщений других не видишь =)

я Ивором говорил про его сеть без вланов. про бесты и вланы я в курсе

ты походу кроме моих сообщений других не видишь =)

Чувак выше писал про дефолтный vlan и что?

На микроте в файрволлах реджект. И то, потому что иногда бывают нужны дырке. Если они не нужны, то прямо в роутах реджект и сети изолированы.

если я правильно понял, у тебя на одном свитче есть юзеры из 1с и из не1с. просто у них ип адреса разные. типа 192,168,1,0/24 и 192,168,2,0/24

например у тебя роутер на 5 портов. а сетей стало надо 7. как будешь делать?

У меня нет таких задач и таких ограничений.

если я правильно понял, у тебя на одном свитче есть юзеры из 1с и из не1с. просто у них ип адреса разные. типа 192,168,1,0/24 и 192,168,2,0/24

на одном роутере

на одном роутере

юзеры в роутер подключаются?

Скажите пожалуйста га какой vds сервер чтоб там установить OS от микротика

юзеры в роутер подключаются?

юзеры в свитчи. свитчи в роутер. по свитчу на подсеть. есть пару мест, где надо обе сети на один свитч — для этого куплены два смарта с двумя аплинками и настроенной port isolation.

Кончились дырки (вдруг) — докупил свитч. Не вижу проблему в отсутствии вланов вообще.

А клепать десятки подсетей внутри одной (обычно ещё и небольшой) фирмы по подсети на каждый чих — это блажь, ящитайу.

юзеры в свитчи. свитчи в роутер. по свитчу на подсеть. есть пару мест, где надо обе сети на один свитч — для этого куплены два смарта с двумя аплинками и настроенной port isolation.

ну ты примерно и повторяешь влан, только без влана =)

Уважаемые, подскажите, что делаю не так? Нужно ходить через внешний ип на внутрений по ssh. Пишу: /ip firewall nat> add chain=dstnat in-interface=ether9-wan protocol=tcp dst-port=2222 action=dst-nat to-addresses=10.10.20.182 to-ports=2222 comment=ssh disabled=no вижу, что пакеты приходят на цепочку, но не доходят до сервера. В какую сторону думать?

Скажите пожалуйста га какой vds сервер чтоб там установить OS от микротика

по идее любой с аппаратной виртуализацией. это значит не контейнеры. xen, vmware, kvm, hyper-v и т.п.

а ssh на нестандартном поту поднят ?

а ssh на нестандартном поту поднят ?

ага на 2222

Уважаемые, подскажите, что делаю не так? Нужно ходить через внешний ип на внутрений по ssh. Пишу: /ip firewall nat> add chain=dstnat in-interface=ether9-wan protocol=tcp dst-port=2222 action=dst-nat to-addresses=10.10.20.182 to-ports=2222 comment=ssh disabled=no вижу, что пакеты приходят на цепочку, но не доходят до сервера. В какую сторону думать?

файр?

файр?

На сервер полностью отключен

Уважаемые, подскажите, что делаю не так? Нужно ходить через внешний ип на внутрений по ssh. Пишу: /ip firewall nat> add chain=dstnat in-interface=ether9-wan protocol=tcp dst-port=2222 action=dst-nat to-addresses=10.10.20.182 to-ports=2222 comment=ssh disabled=no вижу, что пакеты приходят на цепочку, но не доходят до сервера. В какую сторону думать?

форвард разрешен в филтрах?

форвард

На сервер полностью отключен

на роутере

ну ты примерно и повторяешь влан, только без влана =)

физическое разделение пока что решает лучше логического. смотришь на стойку и понимаешь где кто. Логически же по проводу сильно не поймёшь в какую подсеть он идёт.

а так смотришь в конфиг коммутатора - и понимаешь где кто )

Если профит только в том, что можно смотреть в экран, а не на шкаф, то менять ради этого всю лгику сети — нонсенс.

по идее любой с аппаратной виртуализацией. это значит не контейнеры. xen, vmware, kvm, hyper-v и т.п.

А какой посоветуете по дешевле ?

форвард

Спасибо, дело было в форварде, не было его на new

Если профит только в том, что можно смотреть в экран, а не на шкаф, то менять ради этого всю лгику сети — нонсенс.

Проводов меньше)

есть у кого-нибудь нормальный темплейт для свичей хуавей?

Если профит только в том, что можно смотреть в экран, а не на шкаф, то менять ради этого всю лгику сети — нонсенс.

с изоляцией больше шансов ошибку допустить имхо. в двух местах надо настраивать

Почему в двух?

еще следить за другими неизолированными портами

Почему в двух?

возможно это от вендора зависит

грубо отправителя настроить. потом получателя. нет?

Проводов меньше)

Ой ли?

грубо отправителя настроить. потом получателя. нет?

Как тоя теряться начал. Если на роутере сети сызолированы, то они и останутся изолированными, если явно не бросать провод между разными свитчами разных подсетей, нет?

Ой ли?

ну, да. На РП этажа вам для каждой сети нужно отдельный провод тянуть, да еще там и свитч ставить.

Это если с нуля сеть проектировать, то может и да.

https://www.cybersecurity-help.cz/vdb/SB2018042420?affChecked=1 свежачок?

и в 6.43 тоже "не всё так однозначно" :)

и в 6.43 тоже "не всё так однозначно" :)

А что там в 6.43 завезли?

Но опять же всё от задач. Я работаю на немаленьком объекте. За последние лет 5 - ни разу вопрос не встал о том, что без вланов не выжить.

ну вон, закрепленное сверху

там, по-видимому, угон произошёл ещё до обновления

а, это. Там, похоже, пароли утянули заранее, а потом уже приконнектились по апи с известными учетными данными

https://www.cybersecurity-help.cz/vdb/SB2018042420?affChecked=1 свежачок?

Там же написано ulnerable software versionsMikroTik RouterOS 6.42 MikroTik RouterOS 6.41.4 MikroTik RouterOS 6.40.7

Но опять же всё от задач. Я работаю на немаленьком объекте. За последние лет 5 - ни разу вопрос не встал о том, что без вланов не выжить.

да можно выжить, чего бы и не выжить ) С ними удобнее просто, чем без них.

а, это. Там, похоже, пароли утянули заранее, а потом уже приконнектились по апи с известными учетными данными

а, т.е. есть подтверждение такой версии?

а, т.е. есть подтверждение такой версии?

скорее, нету подтверждения версии с уязвимым апи пока. Но случаи, когда люди апрейдились, не меняя пароли, а потом к ним заходили (не по апи, правда) - они есть

кто-то ходит с голой жопой, радуясь, что резьба не та

а как спрятать микрот?

в коробку суй

как что угодно. Темной ночью в лесу закопать без свидетелей. А порт если закрыть - это в файрволе

коробку от айфона использовать?

а на фига он у тебя голой жопой в инет смотрит?

коробку с карандашами

в которой недавно прошёл дождик

а на фига он у тебя голой жопой в инет смотрит?

некоторые любят жить опасно

коробку с карандашами

с Кардашьянами

некоторые любят жить опасно

а потом пишут сюда что взломали роутер Л- Логика

а на фига он у тебя голой жопой в инет смотрит?

Значит недонастроил до конца, мало опыта кагбы

? там вся настройка заканчивается отключением всяких телнетов и ssh или открытием их только с определенных портов

им же и начинается

ERROR: S client not available

да можно выжить, чего бы и не выжить ) С ними удобнее просто, чем без них.

Удобства очень мифические, ну правда. У кого не спросишь про явные профиты, которые вот прямо заметно делают хорошо - все как-то куксятся и мычат, что так везде принято. Или ставят в пример задачи, которые в реальности не нужны. Поэтому я считаю, что вланы не лучше, а просто вопрос привычки и вопрос людей, которые не пробовали иначе и считают их единственным решением в отрасли. Как-то так.

Удобства очень мифические, ну правда. У кого не спросишь про явные профиты, которые вот прямо заметно делают хорошо - все как-то куксятся и мычат, что так везде принято. Или ставят в пример задачи, которые в реальности не нужны. Поэтому я считаю, что вланы не лучше, а просто вопрос привычки и вопрос людей, которые не пробовали иначе и считают их единственным решением в отрасли. Как-то так.

ну вот реально - вам на каждый l2 сегмент нужно в РП этажа свитч и провод к нему от ядра. Зачем? Не очень понятно

Удобства очень мифические, ну правда. У кого не спросишь про явные профиты, которые вот прямо заметно делают хорошо - все как-то куксятся и мычат, что так везде принято. Или ставят в пример задачи, которые в реальности не нужны. Поэтому я считаю, что вланы не лучше, а просто вопрос привычки и вопрос людей, которые не пробовали иначе и считают их единственным решением в отрасли. Как-то так.

согласен, всё от задач зависит, но иногда - это профит

или вот у меня услуга есть, даем одним l2 до точки. У меня в том же доме еще клиент появится - мне туда линию строить?

dude пользуешься?

dude пользуешься?

нет

нет

выключи его сервак на микроте.

или вот прикрутили мне на объект клевую сигнализацию, которая умеет по ip - мне для контроллеров отдельный свитч пришлось бы покупать.

выключи его сервак на микроте.

в каком месте ткнуть?

а зачем отдельно блочить ssh, если ниже drop input?

я онли телнет юзаю но команду не помню, так как удалил его в самом начале

а зачем отдельно блочить ssh, если ниже drop input?

например, чтобы видеть, сколько упырb попробовали по трафику в ssh )

ну вот реально - вам на каждый l2 сегмент нужно в РП этажа свитч и провод к нему от ядра. Зачем? Не очень понятно

Я вас ещё больше попугаю. У меня и РП этажа нет. =)

от ядра до каждого клиента провод?

чтобы видеть — можно просто в адреслист писать, нет?

А зачем видеть?

чтобы видеть — можно просто в адреслист писать, нет?

так и пишет ведь

от ядра до каждого клиента провод?

иногда до свитчей, иногда до конечных клиентов, да.

я поправился выше - для оценки интенсивности атак, например.

иногда до свитчей, иногда до конечных клиентов, да.

У вас, видимо, все же маленький объект

так и пишет ведь

а вторым правилом зачем-то блочит. хотя правило ниже тоже будет блочить их же.

а вторым правилом зачем-то блочит. хотя правило ниже тоже будет блочить их же.

и блочит и складывает в адресс лист

потому что на немаленьком, где на этаже по двести клиентов, очень толстый жгут получается при хотя бы трех этажах, просто нереально толстый, это невозможно эксплуатировать в принципе

У вас, видимо, все же маленький объект

несколько сотен хостов, 4 раздельных офисных здания, несколько цехов производства, завод на другом конце страны, куча филиалов в разных областных центрах. но может и маленький. смотря с чем сравнивать.

и у вас по улицам реально куча меди висит?????

потому что на немаленьком, где на этаже по двести клиентов, очень толстый жгут получается при хотя бы трех этажах, просто нереально толстый, это невозможно эксплуатировать в принципе

ну 200 тел на этаж, такого нет, да…

и у вас по улицам реально куча меди висит?????

почему?

и прям на другой конец страны)

ну l2 на другой конец страны, наверное, не нужен обычно.