Есть маршрут - есть движуха, нет маршрута усе кранты

Надо записать

В тему ната https://blog.webernetz.net/why-nat-has-nothing-to-do-with-security/

Ещё раз блеять! Нат это не фаервол ! С ним вас никто не защитит ... он помощник перехода .... из одних адресов в другие ...

неправда!

нат закрывает входящие соединения на форвард без явного проброса

а серые ипы па инету не маршрутиризируются

обход ната возможен ТОЛЬКО если каким либо образом можно доставить тебе на аплинк пакет с дст твоей серой подсети

ну вот сам попробуй любой богон на пинг в инет

оно не работает...

обсуждали выше , если злой подключен непосредственно в L2 с тобой со стороны прова , может указать , если узнает , тебя как маршрутизатор, в твою внутрен.сеть, нат в этом участвовать то не будет.

не ну если твой дятлопровайдер не изолировал абонов друг от друга и устроил им броадкаст домен то да тя отымеют и с натом но такой конфиг редкасть и пакасть

неправда!

Троль ...

подскаите с этим пожалуйста https://forum.nag.ru/index.php?/topic/143980-l2-tunnel-cherez-dva-malonadezhnyh-mobilnyh-kanala/

потому необходимо запрещать на вход из сети прова , обращаться на прямую в твою сеть

Что смешного что дим, дуришь голову людям

ну с чего ты взял что я тролю я сурьезно

эта дыра имеет место быть в очень ограниченом кейсе

в большинстве случаев оно не так

провы как правило делают влан пер юзер

не ну если твой дятлопровайдер не изолировал абонов друг от друга и устроил им броадкаст домен то да тя отымеют и с натом но такой конфиг редкасть и пакасть

Вот так своему начальству и скажешь, это все провайдер виноват, а я обеспечил безопасность с помощью нат на ?%

а смысл начальство не шарит совсем, а на своем аплинке ничего кроме шлюза прова не видно

провы как правило делают влан пер юзер

Сколько адресов твой vlan пер юзер даст пользователь

Троль ...

я за бан!

Сколько адресов у него есть

нисколько там нет адресов

ипв4 6 выключен

только пппое

Там же только был vlan откуда pppoe ?

а зачем отдельный влан при пппое?

а зачем отдельный влан при пппое?

чтобы юзеры друг другжку

Провайдер будет экономить на адресном постоянстве ... выдавая людям из диапазона

влан - изоляция

пппое авторизация

чтобы юзеры друг другжку

достаточно изоляции портов же

вот для этого и влан

Прописываешь хост соседа шлюзом ... и его адрес сети в качестве dst

и отключении апр прокси на агригации

нее

коммутаторы могут не передавать трафик между клиентскими портами, только между аплинками

если нет адреса, адреса не нужны, там же пппое

коммутаторы могут не передавать трафик между клиентскими портами, только между аплинками

Вот это вполне может быть

Парни, всем спасибо. кто был на MUM. Было приятно пообщаться )

Илья больше Вам спасибо. Надеюсь на дальнейшее продуктивное общение

трафик сигментешинал или как то так в длинках завется

Но это не нат вам помог защитить ) а пров

Но это не нат вам помог защитить ) а пров

ты кому про что?

ты не видишь хост соседа по арп, там влан на каждого, в мой порт заведен аксесом мой персональный уникальный влан, в порт соседа - его уникальный персональный, коммутатор не разрешает ходить из одного влана в другой. На каждого абонента свой л2 домен

ты кому про что?

Да Дима троль ... блин !

провы как правило делают влан пер юзер

По моему так делают аутисты

коммутатор может не разрешать ходить пакетам из одного порта в другой и без влана

Когда есть порт изоляция, юзать влан пер юзер, очень как то странно

Я говорил про acl и архитектуру cpe ?

да может и так

только в аплинк, и из аплинка на клиенские порты

И ce ?

просто вланы я видел -)

А если пров в селении залюпкино

Что будет ? Адреса в /24 маске

ну вот я и грю только в случае если нет л2 изоляции

ERROR: S client not available

можно и сквозь нат пройти

и на мак телнет

и арп поизион

и много че ище

Или /32 маску выдавать

потому он избегают

Ты сказал неправда и Тролинул

Половину народа в чате

Теперь они будут плохо спать

Потому как учится им до порт изоляции еще черти сколько

А фаер надо было вчера настроить

первым делом на фаерволе запрещаешь форвард и импут на всех портах

а потом уже дописываешь разрещающие правила

)

А хорошая погода сегодня

провайдер может выдавать и /24, при этом будет vlan-per-user, оно напрямую не связано

люди после мума не очухались, а вы тут такое...

[admin@eXmachine] > interface ethernet switch host print where ports =wan Flags: D - dynamic, I - invalid # SWITCH MAC-ADDRESS PORTS TIMEOUT DROP MIRROR VLAN-ID 0 switch1 FC:75:16:AD:6D:55 wan yes no 250 1 D switch1 0C:A4:02:CC:16:A7 wan 3m30s no no 250

вот все что есть на ване у меня

в здоровом домору всего два мака светятся

[admin@eXm2] > interface ethernet switch host print where ports =wan Flags: D - dynamic, I - invalid # SWITCH MAC-ADDRESS PORTS TIMEOUT DROP MIRROR VLAN-ID 0 D switch2 00:18:82:83:CC:8D wan 3m30s no no 1 D switch2 74:9D:8F:83:9B:C8 wan 3m30s no no 2 D switch2 7C:8B:CA:B4:4B:6F wan 1m no no

эта рт

3 мака

бридж с стп флудом, брас и иптв

у домару нет иптв просто

ничего более кроме того что необходимо там нет

Провайдер не обязан делать изоляцию, это его здравый смысл

однажды правда я видел некий кактус там в арп таблице было столько маков что в хистори терминала не впихивалось