Те кто знал вспомнили, кто не знал будут искать и найдут ... выступления Леши и Кирила

Я пока откровенной рекламы даже не видел )

Хороший первый день

а не 8 дхцп серверов

у меня три с лишним сотни ?

Товарищи, а есть какое нибудь краткое изложение первого дня?

Товарищи, а есть какое нибудь краткое изложение первого дня?

Все херово

Хороший первый день

+1

Все херово

А я?

А Князев?

Дим, он тролит

дай думаю в нат загляну))))))

Дим, он тролит

Принял. Спасибо.

это интересно

что это такое ?!

что это такое ?!

как что?) нат))))))))

? я уже как Серега хочу кинуть крольчиху ... которая спрашивает зачем ?!

это прием всех tcp и udp без всех портов которые юзают трояны

?

я знал что вы оцените) решил взбодрить чатик ?

Люди... А может быть такое что в фаерволе микротика перестал срабатывать dst-nat? К этому микротику подключены другие разные роутеры, за которыми видеонаблюдение со своими DVRами. Через главный микротик на эти роутеры настроена эмуляция белых айпишников через dst-nat и src-nat. Сегодня обнаружилось что не работает доступ из вне по белым айпишникам. Включал лог на правиле с dst-nat, не реагирует и счетчики не увеличиваются. Ребутать сейчас не хочу, звонки посыпятся. Может кто сталкивался и решалось без ребута? Или проблему искать где-то еще...

NAT отрабатывает только новые соединения. Зачистить connection-tracker и проверить еще раз Убедиться что на входящий интерфейс приходит пакет Убедиться что пустой /firewall raw

Забыл сказать что через этот микротик люди получают инет, с инетом проблем нету. Такс... в Raw пусто...

Люди... А может быть такое что в фаерволе микротика перестал срабатывать dst-nat? К этому микротику подключены другие разные роутеры, за которыми видеонаблюдение со своими DVRами. Через главный микротик на эти роутеры настроена эмуляция белых айпишников через dst-nat и src-nat. Сегодня обнаружилось что не работает доступ из вне по белым айпишникам. Включал лог на правиле с dst-nat, не реагирует и счетчики не увеличиваются. Ребутать сейчас не хочу, звонки посыпятся. Может кто сталкивался и решалось без ребута? Или проблему искать где-то еще...

с извне трассу к "эмуляции" белых айпишников

где трасса падать будет?

с извне трассу к "эмуляции" белых айпишников

Доходит до микротика, который перед тем самым "проблемным" микротик стоит. Между ними РРЛ

Доходит до микротика, который перед тем самым "проблемным" микротик стоит. Между ними РРЛ

вот и начинай смотреть с того, куда доходить счётчики в нате там

с него же попробуй по портам побегать "дальше" к дврам

NAT отрабатывает только новые соединения. Зачистить connection-tracker и проверить еще раз Убедиться что на входящий интерфейс приходит пакет Убедиться что пустой /firewall raw

Как зачистить connection-tracker ?

ctrl+a -> -

вот и начинай смотреть с того, куда доходить счётчики в нате там

Прнял

выделил всё - удалил

выделил всё - удалил

Минуту

Очистка не помогла

Счетчик пингов тоже не растет. На том микротике где где прибиты белые адреса

Никаких обращений из вне не видно

вот и начинай с него

Нашел в чем дело

Мой косяк :)

На днях заметил что на первом микроте не правильно протисаны правила фильтрации, вернее изменился вановский интерфейс :) вот и поправил так :)

Всем спасибо :)

опа, а Костю-то я и не признал

оказывается сосед ?

Таки да :)

Чеширского кота я сразу признал :)

Надо аву поставить :)

Надо аву поставить :)

во во :)

А точнее дело было в стандартном фильтре под названием drop all from WAN not DSTNATed

А точнее дело было в стандартном фильтре под названием drop all from WAN not DSTNATed

надо было выше делать с allow на свои айпишники

надо было выше делать с allow на свои айпишники

Исправлил

Коллеги, ночи

Как на дхцп сегменте обезопасить сеть от статических настроек? Т.е. чтоб на хосте нельзя было прописать статику

Ты никак не можешь запретить роутером прописывать что то там где то там

Это впринципе невозможно

Суть в том, чтобы роутером запретить доступ к сети с прописанными настройками

потому как это неплохой такой сесурити брич

Убери лернинг

Потому что мы пока с коллегой нашли единственный выход — скриптом при получении лизы добавлять в адрес лист и дропать всё чего там нет

ERROR: S client not available

Убери лернинг

уже, всё равно работает

Если ты об этом

Ну и все а больше ты ничего не сделаешь

да ну?)

а это что?)

вот какой-то дичь нахой

Еще раз грю ты не можешь запретить роутером ему че то там у себя прописываеть

да пусть прописывает

у него не должно быть при этом доступа

к сети

с прописанными настройками

ведь роутер управляет л2 и л3 уровнями

Только доступ к сети на определеных условиях

А как он их там будет рожать

стапэ

походу дошло

ща попробую

а так ты просто уираешь лернинг и добавляешь статические арп дхцп сервером

но есть ище лернинг в свитче

и он неотключаемый у микротика

как хреново жить без радиуса

Граждане, а ни у кого cloud не помер сегодня случайно?

да рос не будет арп отвечать

но он межет пустить арп бкастом

или статику себе вписать

У меня запросы по таймауту отваливаются, хотя ничего не меняли. Файервол пробовал гасить, не помогает