какой смысл в этом правиле при нижнем запрещающем все?

ну может человеку нравится что бы все было сначало запрещено)

какой смысл в этом правиле при нижнем запрещающем все?

сервисные порты микрота не доступны из интернета

сервисные порты микрота не доступны из интернета

у тебя все порты не доступны из интернета

какой смысл в этом правиле при нижнем запрещающем все?

а в его случае если у него Input резрешен, то у него ICMP разве не пройдет дальше?

у тебя все порты не доступны из интернета

кроме тех что в нат прописал

он же разрешен будет на вход

а в его случае если у него Input резрешен, то у него ICMP разве не пройдет дальше?

при нижнем запрещающем правиле чтоб пинг пошел его надо отдельно разрешить выше

при нижнем запрещающем правиле чтоб пинг пошел его надо отдельно разрешить выше

не-а

проверьте :)

я тоже так думал, пока не увидел что этот паскудник почему-то идёт

при нижнем запрещающем правиле чтоб пинг пошел его надо отдельно разрешить выше

input accept стоит, все что извне на инпут прилетит будет разрешено и не заблочится

так input accept icmp удалить или как?

так input accept icmp удалить или как?

вообще лучший варинт просто загрузить стандартный конфиг и его крутить)

вообще лучший варинт просто загрузить стандартный конфиг и его крутить)

не

не

да)

да)

защем мне стандартный если этот хорош только довести до ума надо

не

на инпуте должны быть DNS NTP и то что еще используется для входа на сам роутер, т.е. для винбоса например или еще что-то, все остальное блочится. а просто Input Accept будет разрешать весь мусор который идет из инета на сам роутер, защиты 0 в этом случае

на инпуте должны быть DNS NTP и то что еще используется для входа на сам роутер, т.е. для винбоса например или еще что-то, все остальное блочится. а просто Input Accept будет разрешать весь мусор который идет из инета на сам роутер, защиты 0 в этом случае

ну далённый доступ мне не нужен, так что можно всё блочить

на инпуте должны быть DNS NTP и то что еще используется для входа на сам роутер, т.е. для винбоса например или еще что-то, все остальное блочится. а просто Input Accept будет разрешать весь мусор который идет из инета на сам роутер, защиты 0 в этом случае

а есть где-нибудь собранные правила "паранойя-эдишен"?

ну далённый доступ мне не нужен, так что можно всё блочить

ну разрешаем вход по инпуту для винбокса с локалки, далее в в adress-list добавляем запись что-то типа dns_ntp_ip вносим в нее свои днсы и нтп далее далее жмем кнопочку safe mode что бы случайно не заблочить микрот, если что-то не так сделано далее блочим все что не они на вход, т.е.

и правило в самый верх

а есть где-нибудь собранные правила "паранойя-эдишен"?

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

и правило в самый верх

но ниже правила на вход из локалки?

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

это ж общее, а мне бы хотелось вот как Игорь рассказывает. Типа "Нас всё равно хакнут, но пусть сначала потрахаются! Потому сделаем вот так и так, тут и тут!!!"

но ниже правила на вход из локалки?

ну да)

дыра сплошная

?

дыра сплошная

?

black ebony hole

дыра сплошная

и вы конечно можете это доказать))))))

разумеется

а это обязательно доказывать? так невидишь?

тут специ по IPIP тунелям есть?

спецы*

тут специ по IPIP тунелям есть?

В чем вопрос

не работает в одну сторону

не работает в одну сторону

Гадание по клитору не произвожу

подготавливаю подробное описание

Гадание по клитору не произвожу

только по клитору?

не работает в одну сторону

а в другую че работает чтоли?

только по клитору?

По уздечке тож , не рассчитывай

у меня влан который не работает в одну сторону

?

нуачотаково то

бывает же езернет линки которые с одной стороны даун а с другой ап)

обычно когда физика говно так бывает

В чем вопрос

вопрос что выбрать gre или ipip?

подготовил описание

большое ?

вопрос что выбрать gre или ipip?

Site to site ?

постарался по максимуму

Канеш ГРЕ

МТ1(192.168.3.1), внутрення подсеть 192.168.3.0/24, внешний адрес 99.99.99.99 МТ2(192.168.4.1), внутрення подсеть 192.168.4.0/24, внешний адрес 44.44.44.44 Создал инетрфейсы ipip, прописал адреса на концах 10.1.1.1 и 10.1.1.2 На МТ интернет приходит по PPPoE, но, на МТ1 заведены два PPPoE (пров один) Одна учетка (PPPoE-100) имеет дефолтный роут, на ней сидит офис (данное соединение имеет серый адрес) Вторая учетка (PPPoE-10) не имеет дефолтного роутра, на ней поднимается туннель. Для разделения трафа, выполнил сл. манипуляции в Мангл: 1) chain=input action=mark-connection new-connection-mark=Input/ISP10 passthrough=yes in-interface=RosTel-10 2) chain=output action=mark-routing new-routing-mark=q10 passthrough=no protocol=ipencap dst-address=99.99.99.99 3) chain=output action=mark-routing new-routing-mark=q10 passthrough=no connection-mark=Input/ISP10 Пинги с ПК 192.168.3.74 до 192.168.4.25 (и обратно) бегают без проблем. Tracert показывает с обеих сторон правильные 3 хопа Если с ПК 3.74 открыть шару на 4.25, она открывается и туда можно скопировать файло с макс 10 Мбит/с скоростью. А вот если на оборот, на 4.25 открыть шару 3.74, очень долго ничего не происходит (висит проводник), потом вроде даже показывает папки, позволяет ходить между ними, но ничего на 3.74 скопировать нельзя. Тотал командер пишет - недоступен ресурс (чтото ттипо такого) ---------------------- Уже всю голову сломал. ХЗ почему не пашет....

Канеш ГРЕ

а в чем существенная разница?

а в чем существенная разница?

Стабильность , сверху накрутить шифрование можно

бывает же езернет линки которые с одной стороны даун а с другой ап)

небывает, с ап стороны скажет нет кабеля и уйдет в даун

а, еще рулесами пробовал направить траф...

МТ1(192.168.3.1), внутрення подсеть 192.168.3.0/24, внешний адрес 99.99.99.99 МТ2(192.168.4.1), внутрення подсеть 192.168.4.0/24, внешний адрес 44.44.44.44 Создал инетрфейсы ipip, прописал адреса на концах 10.1.1.1 и 10.1.1.2 На МТ интернет приходит по PPPoE, но, на МТ1 заведены два PPPoE (пров один) Одна учетка (PPPoE-100) имеет дефолтный роут, на ней сидит офис (данное соединение имеет серый адрес) Вторая учетка (PPPoE-10) не имеет дефолтного роутра, на ней поднимается туннель. Для разделения трафа, выполнил сл. манипуляции в Мангл: 1) chain=input action=mark-connection new-connection-mark=Input/ISP10 passthrough=yes in-interface=RosTel-10 2) chain=output action=mark-routing new-routing-mark=q10 passthrough=no protocol=ipencap dst-address=99.99.99.99 3) chain=output action=mark-routing new-routing-mark=q10 passthrough=no connection-mark=Input/ISP10 Пинги с ПК 192.168.3.74 до 192.168.4.25 (и обратно) бегают без проблем. Tracert показывает с обеих сторон правильные 3 хопа Если с ПК 3.74 открыть шару на 4.25, она открывается и туда можно скопировать файло с макс 10 Мбит/с скоростью. А вот если на оборот, на 4.25 открыть шару 3.74, очень долго ничего не происходит (висит проводник), потом вроде даже показывает папки, позволяет ходить между ними, но ничего на 3.74 скопировать нельзя. Тотал командер пишет - недоступен ресурс (чтото ттипо такого) ---------------------- Уже всю голову сломал. ХЗ почему не пашет....

Пппое 2 но провайдер 1 , это отказоустойчивость 80 лвл ?

Стабильность , сверху накрутить шифрование можно

на микроте же и на ipip можно надеть ipsec

мля, ну почему все думают что тут отказо устойчивость????

нет, просто 2 учетки

никаких резерваций и агрегаций нету

на микроте же и на ipip можно надеть ipsec

Хуй знает. Не пробовал )

учетка 10 имеет статику

учетка 10 нужна только для меня. Я учусь, тренеруюсь, вам мозг выношу...

МТ1(192.168.3.1), внутрення подсеть 192.168.3.0/24, внешний адрес 99.99.99.99 МТ2(192.168.4.1), внутрення подсеть 192.168.4.0/24, внешний адрес 44.44.44.44 Создал инетрфейсы ipip, прописал адреса на концах 10.1.1.1 и 10.1.1.2 На МТ интернет приходит по PPPoE, но, на МТ1 заведены два PPPoE (пров один) Одна учетка (PPPoE-100) имеет дефолтный роут, на ней сидит офис (данное соединение имеет серый адрес) Вторая учетка (PPPoE-10) не имеет дефолтного роутра, на ней поднимается туннель. Для разделения трафа, выполнил сл. манипуляции в Мангл: 1) chain=input action=mark-connection new-connection-mark=Input/ISP10 passthrough=yes in-interface=RosTel-10 2) chain=output action=mark-routing new-routing-mark=q10 passthrough=no protocol=ipencap dst-address=99.99.99.99 3) chain=output action=mark-routing new-routing-mark=q10 passthrough=no connection-mark=Input/ISP10 Пинги с ПК 192.168.3.74 до 192.168.4.25 (и обратно) бегают без проблем. Tracert показывает с обеих сторон правильные 3 хопа Если с ПК 3.74 открыть шару на 4.25, она открывается и туда можно скопировать файло с макс 10 Мбит/с скоростью. А вот если на оборот, на 4.25 открыть шару 3.74, очень долго ничего не происходит (висит проводник), потом вроде даже показывает папки, позволяет ходить между ними, но ничего на 3.74 скопировать нельзя. Тотал командер пишет - недоступен ресурс (чтото ттипо такого) ---------------------- Уже всю голову сломал. ХЗ почему не пашет....

днс

а что днс?

зачем для ipip днс?

а что днс?

Сделай ГРЕ

из другой подсети он не может отрезолвить

Сделай ГРЕ

был ррртр

зачем для ipip днс?

узбагойся работает твой ипип

все работало\

и на вход и на выход

в обе стороны

дело не в тунеле

но, хочу всё знать! был такой журнал ?

тааак

может на 3.74 антивирь шалит?

может

может на 3.74 антивирь шалит?

Брандмауэр

антивирь фаервол днс роуты

самбе надо броадкаст домен

через ипип нету бкаст

отключил на 3.74 NOD32 Antivirus

в таком случае тебе нужен винс

не помогло

гибрид ноде

h-node

попробуй по ипам открывать

\\\192,168,4,37