Потсоны, а 2011 же умеет как вифи точка доступа? Там все одинаково будет настра как в 951ом например?

Только две антенны. А так вроде бы да.

Потсоны, а 2011 же умеет как вифи точка доступа? Там все одинаково будет настра как в 951ом например?

с софтовой точки зрения они идентичные. так что да, будет одинаково. те же две антены, те же 128 метров ОЗУ и "ХДД" так что и апаратно они идентичные, просто есть еще 100-мегабитный комутатор и СФП ?

но смотри на то какой 2011. там есть порезаные апаратно и по уровню лицензий модели ?

На все порты кроме прова, да?

да

если человек не сильно умный то по TTL

То что он поставил вифи с паролем 00000000 а потом удивляется "хули у меня инет тормозит" - очень явно говорит о его уме и сообразительности

Можно ещё ограничения на эзернеты настроить, которые не смотрят в локалку\провайдера.

На все порты кроме прова, да?

Все IP адреса, которые сидят за роутерами автоматом попадут в адрес лист routers, что делать дальше - на Ваше усмотрение. ip firewall mangle add action=add-src-to-address-list chain=prerouting in-interface=ether01 ttl=equal:63 address-list=routers ip firewall mangle add action=add-src-to-address-list chain=prerouting in-interface=ether01 ttl=equal:127 address-list=routers

пониз TTL до 1

Ей, не надо, а. А то трафик до провайдера дойдет и сдохнет. Надо именно ДЕТЕКТИТЬ по ТТЛ, а там уже думать что делать

Кто нибудь из микротика днс сервер внешний делал

?

Кто нибудь из микротика днс сервер внешний делал

Да.

Все IP адреса, которые сидят за роутерами автоматом попадут в адрес лист routers, что делать дальше - на Ваше усмотрение. ip firewall mangle add action=add-src-to-address-list chain=prerouting in-interface=ether01 ttl=equal:63 address-list=routers ip firewall mangle add action=add-src-to-address-list chain=prerouting in-interface=ether01 ttl=equal:127 address-list=routers

о, а вот так поддерживаю, но я бы ловил по РАВНО 128 и 64. и типа это разрешенный трафик. а остальное в роутеры записывал. Так как может быть ДВА роутера в цепочке и т.д. тоесть ТТЛ еще меньше будет

Кто нибудь из микротика днс сервер внешний делал

ага, по незнанию все делали вначале ?

ага, по незнанию все делали вначале ?

А что такого?

Да при белой айпишке вечно всякие спамботы цепляются

и грузит проц сильно от сотен запросов на 53 порт ДНС из внешки

Да при белой айпишке вечно всякие спамботы цепляются

А если не пересылать все ДНСы мира?

вот народ сразу и закрывает 53 UDP in-interface=WAN

И указать только адреса серверов хостера?

если человек не сильно умный то по TTL

умный станет делать WEP на вафле?))

И указать только адреса серверов хостера?

А вообще какая задача стоит?

Можно ещё ограничения на эзернеты настроить, которые не смотрят в локалку\провайдера.

кинетик в разрыв вставят

А вообще какая задача стоит?

Не знаю как у спрашивающего, а у меня просто домен плюнуть вверх.

ага, по незнанию все делали вначале ?

Хочу по пробовать сделать днс-фильтр

Типа как у яндекса

ну я выдерживаю hping

Ип скажи

Ип скажи

что, вовку хочешь натравить? ?

хотя тут наверное у многих канал широкий и железо мощное

Не выдержит он хпинга

самое худшее если у кого то будет мнопроцесорный х86 под линуксом с гигабитным каналом ?

А, стоп, это ТЫ олегу, я думал ОЛЕГ тебе писал

не, Олег хпинг проходил. если говорит что выдержит значит выдержит. он проверял

ничто не может пройти хпинг

зависит от соотношения мощностей и правил в файрволе

хпинг покарает всех

если я буду в РАВе дропать, грамотно распределять ресурсы между ядрами то ты хоть обдрочись а меня не положишь

зачем нужно указывать preffered source

что бы знали от имени какой айпишки слать пакет если у тебя пару айпишек на интерфейсе

что бы знали от имени какой айпишки слать пакет если у тебя пару айпишек на интерфейсе

а если не укажу, откуда отправит

не укажешь то оно автоматом выберет ?

а автоматом нужное как оно выберет?или не всегда нужное выбирает

спроси разработчиков тика ?. ИМХО просто из той же подсети куда ты пакет шлешь. если таких адресов несколько то самый маленький

а если указываю prefsourse то как то уменьшается время отправки пакета?

время уменьшится если ты вместо маскарадинга будешь использовать src.nat

а за это не скажу

Ладно, я побежал на работу http://www.opennet.ru/docs/RUS/iptables/ вот, читай, тут всё расказано. На айпитейблсах микротиковский файрвол и построен.

не обязательно всё читать, но хотя бы с главы3 и по основным действиям. там как раз нюансы и описывают

ок, спасибо

если я буду в РАВе дропать, грамотно распределять ресурсы между ядрами то ты хоть обдрочись а меня не положишь

да насрать где ты дропаешь

наверное школота похожим сервисом меня и ддосит

Сергей мы можем и попробовать же...

там максимальная атака чет 3Гбит/c

600гГбит

фаерволл в микротике же справица?

проц не справится

А на ccr1036?

там 36 медленных тараканов

тут и i7 не справится

Быстрее аплинк ляжет

Ип скажи

После 12 ночи могу сказать

А на ccr1036?

для него придел около 10мегапакетов

что ни так уж и много

Парни

А скольки ссид можно поднять на 751

сколько хочешь

ну разве что ты хочешь 1000-2000

ERROR: S client not available

кажись ограничение лицензии в 500 виртуальных интерфейсов

как наиболее правильно потестить SSTP?

Непереживай нормально работать оно перестанет намного раньше чем ты достигнешь придела по количеству ссид

ixChariot

чето мне его работа не очень понятна..

то всё ровно.. пинг 1мс.. потом ХРЯСЬ - дичайшие пинги до потерь

через пару минут проходит

чоэта

сколько хочешь

но только на той же частоте..... я правельно понимаю?

не стоит с ним связываться?

но только на той же частоте..... я правельно понимаю?

да, апаратные настройки остаются те же, меняются только софтовые(профили безопасности и т.д.)

и почему-то не появилось в мангле правил tcp mss, хотя в профиле галка стоит

не стоит с ним связываться?

почему не стоит? ты спросил чем протестировать, я ответил ?. Говорят что у ССТП нагрузка и оверхед великоваты. но не проверял сам

почему не стоит? ты спросил чем протестировать, я ответил ?. Говорят что у ССТП нагрузка и оверхед великоваты. но не проверял сам

нагрузка на проц?

ну типа того

ixChariot

чето он какой-то слажный

сервер надо ставить

там хотя бы триал то есть?

чето он какой-то слажный

он охуенный

он охуенный

у него есть серверная часть в виде программы?

аяяев

или надо обязательно корячить аплайанс на виртуаль

аяяев

инлайт кокойты

Парни, пробросил (pub-nat) порт netmap на локальный адрес. И правила в firewall на него не действуют. видимо последовательность обработки пакетов не дает. Помогите как быть, хочу отфильтровать этот проброшенный порт

Парни, пробросил (pub-nat) порт netmap на локальный адрес. И правила в firewall на него не действуют. видимо последовательность обработки пакетов не дает. Помогите как быть, хочу отфильтровать этот проброшенный порт

быть может ты неправильно пишешь эти правила?

ставишь в неправильной последовательности

ну не знаю, хотя бы пример дайте. Вроде всегда правильно правила писал?

Ребят, вопрос: есть микротик, он держит входящие pptp и внутри них поднимает EoIP. Есть, соответственно, клиентские микротики. Так вот после примерно суток работы в таком режиме головной микротик подвешивается намертво. Кто-нибудь может что-то подсказать?

Кстати, всем привет

или вообще не осознаешь что происхоит -)

ладно, покапаюсь еще

add chain=forward connection-nat-state=dstnat in-interface=domru