и зачем мне днс открывать ?

тем более что для локального оно input accept all

/ip firewall filter add chain=input protocol=tcp dst-port=53 action=drop comment="allow DNS request" disabled=yes /ip firewall filter add chain=input protocol=udp dst-port=53 action=drop comment="Allow DNS request" disabled=yes

не то скопировал

и зачем мне днс открывать ?

заблокиру днс

у тебя цепочка есть а на правило не кто не ссылается

это цепочка для днс ответов а не запросов

в которой дропаются файковые ответы от днсов ертелекома

а сам днс неявно закрыт последним input drop all

?

перед которым разрешены установленые и ипсек

закрой первым правилом

да и так закрыт

закрыл

счетчик по 0

подними мои правла на верх и посмотри счетчик

правила

омг

прилете целый 1 пакет

-)

тогдп вырубай фаэрвол и в ключай по обному правилу и смотри

это почти не влияет

но вырубить совсем я немогу

нат и тсп мсс

по одному вырубай

я их все задизайблил

Ребята кто нить CRS125 и USB модемы соединял?

по логам чего то все хотят тсп сун 23 от меня

по логам чего то все хотят тсп сун 23 от меня

флудят

/ip firewall filter add chain=input protocol=tcp dst-port=53 action=accept comment="allow DNS request" disabled=yes /ip firewall filter add chain=input protocol=udp dst-port=53 action=accept comment="Allow DNS request" disabled=yes

disabled=yes LOL

/ip settings set tcp-syncookies=yes

disabled=yes LOL

?

по логам чего то все хотят тсп сун 23 от меня

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \ action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes /ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \ action=accept comment="" disabled=no /ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \ action=drop comment="" disabled=no

по логам чего то все хотят тсп сун 23 от меня

/ip settings set tcp-syncookies=yes

да уж wolf писака правил фаервола от бога...

не проснусь пока что ..

но смысл мы поняли

я что то не врубился, чего вы там ковыряете, загрузка проца большеватая из-за файрвола? Ну тогда для начала ВРЕМЕННО сделать в РАВе дроп всех инуптов по вану с конекшн-стейтом=нью и смотреть упало ли сильно. если упало то разбираться. не упало то нечего файрвол мучать ?

так оно итак

я ж кидал экспорт

я не робот, большие експорты парсить не умею ?

add chain=input connection-state=established,related dst-address-type=unicast,local in-interface=domru add chain=input in-interface=domru protocol=icmp add chain=input dst-port=1701,500,4500 in-interface=domru protocol=udp add action=drop chain=input in-interface=domru log=yes log-prefix=sa

такой осилишь? -)

угу

ну вот это по инпуту на ване

add chain=forward connection-state=established,related in-interface=domru add chain=forward connection-nat-state=dstnat connection-state=!invalid in-interface=domru add action=drop chain=forward in-interface=domru

эт по форварду на ване

и говоришь нагрузка большая на файрвол? Ну метод ест ьпростой

сбрось щетчики если можно и глянь на каком правиле больше всего пакетов накапает

отсоритуруй по пакетах в секунду или по пакетах вообще

на дропах пакет рейт смешной

ну в мангле еще и в нате глянь

может там чего много обрабатывает

117мб на инпут ван

или 234к пакетов

мегабит?

за 10 дней

аааа

мегабайт

по пакетрейту отсортируй. в момент нагрузки большой глянешь

почему 3011 по одному порту пускает винбокс по маку, а по другому не желает

хотя винбокс видит его

а всё, кажись дошло

сам поназакрывал в мак-сервере )

видимость работает через MNDP

и настраивается в ip neighbors

а подклчение mac-server

ERROR: S client not available

Подключение и не работало

считаются ли входящие пакеты scr nat соединения dnated?

наверное нет

оно считает по конекшн-стейту=нью

во всяком случае трафик исходящий как ответный не срц.натится если шел на реальный адрес

и вообще, я не врубился в твою фразу

ты о входящих от юзара в роутер?

Сергей, вот помнишь времена когда контрека не было?

я шо такой древний?

я не знаю

но тогда нат прописыватся и срц нат и дст нат

давай по порядку и по полочкам. ты о каком трафике? 1. От юзера к роутеру перед выходом в интернет 2. Ответ из интернета на трафик юзреа который был смаскараден?

от юзера в интернет через роутер

это не дст нат точно . так как ДСТ адрес не меняется

ответный тоже СКОРЕЙ ВСЕГО не будет щетатся дст.натом . так как это уже типа внутрении разборки контрака куда дальше трафик отправить, а не явного правила ДСТ.ната

вот юзер хочет установить тсп конект с гуглом к примеру он отправляет сун это сун срц натится, в ответ от гугла прилетает сун акт

и этот сунакт роутером днатится во внутренюю сеть

а вопрос в чем? в самой сути работы технологии или в каких то щетчиках в правилах/статистике?

по сути да это будет днат. Но формально такой трафик не будет подпадать под правила дната так как дальше автомагически преобразуется контраком и формально к днату не имеет отношения.

мы этот днат не пишем потому что у нас конектион трекер который это делает за нас автоматически

проще говоря что конкретно И ГДЕ ты хочешь на тике глянуть. а то я не могу найти щетчиков нужных ? , так что не могу предметно проверить у себя

а вопрос вот в чем, в фильтрах есть nat state

входящие пакеты подпадают под nat state dnat?

ну это явно не оно

НЕА

оно там подразумевает ЯВНЫЙ ДНАТ ?

иначе весь трафик бы таким был ?

оно подразумевает метку в конектион трекере я думаю

в общем, не забивай себе голову глупостями. там сугубо о явном(через ручные правила) Днате речь Я в этом уверен на 90%

13:36:33 firewall,info sa input: in:domru out:(none), proto TCP (ACK,RST), 85.192.168.109:40098->188.187.190.18:50413, len 40

для сстп кроме 443 надо что-то еще открывать?

13 chain=forward action=accept connection-nat-state=dstnat in-interface=domru log=no log-prefix=""