@MikrotikRu
Gem28.12.2016
09:24:24
09:24:24
можно по контенту, можно тупо в адрес лист добавить и дропать
но у меня это не пашет - DPI сильный у прова
гружу блоклист с гитхаба на vps - парсинг и аггрегация смежных адресов по маске + экспорт в бгп
NIKOLYA28.12.2016
09:30:15
09:30:15
я так делал
https://www.opennet.ru/tips/2999_iptables_block_tor.shtml
[DestRoYeR]28.12.2016
09:34:15
09:34:15
я так делал
https://www.opennet.ru/tips/2999_iptables_block_tor.shtml
У фейковых ответов может быть отличный от реальных ответов ttlИ не надо никаких ...location=...в правилах
GoogleGem28.12.2016
09:40:04
09:40:04
не суть
Провайдер сразу после рукопожатия шлет редирект и никакого реального трафика. - у меня везде
NIKOLYA28.12.2016
09:40:08
09:40:08
у меня всегда ответ от blocklist.rkn.gov.ru
Kirill28.12.2016
10:11:06
10:11:06
Шо?
Kirill28.12.2016
10:14:28
10:14:28
нат используется?
Kirill28.12.2016
10:15:24
10:15:24
покажи правило фасттрека
Gem28.12.2016
10:16:11
10:16:11
покажи правило фасттрека
add action=fasttrack-connection chain=forward connection-state=established,related disabled=yes
add action=accept chain=forward connection-state=established,relatedKirill28.12.2016
10:16:52
10:16:52
и менно в таком порядке как написал?
GoogleGem28.12.2016
10:17:08
10:17:08
и менно в таком порядке как написал?
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 XI chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
2 chain=forward action=accept connection-state=established,related log=no log-prefix=""Kirill28.12.2016
10:18:10
10:18:10
покажи целиком фильтр
Gem28.12.2016
10:19:39
10:19:39
покажи целиком фильтр
Выключать всё кроме фасттрака пробовал - без изменений
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 XI chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
2 chain=forward action=accept connection-state=established,related log=no log-prefix=""
3 chain=input action=accept protocol=gre in-interface=bridge2 log=yes log-prefix=""
4 chain=output action=accept protocol=gre out-interface=bridge2 log=yes log-prefix=""
5 chain=input action=reject reject-with=icmp-host-unreachable src-address=94.136.40.37 log=no log-prefix=""
6 chain=input action=reject reject-with=icmp-host-unreachable protocol=udp src-address=46.73.32.34 dst-port=500 log=no log-prefix=""
7 chain=input action=reject reject-with=icmp-port-unreachable protocol=udp in-interface=bridge2 port=69 log=no log-prefix=""
8 chain=input action=drop connection-state=invalid in-interface=bridge2 log=no log-prefix=""
9 chain=forward action=drop connection-state=invalid in-interface=bridge2 log=no log-prefix=""
10 chain=forward action=drop connection-state=invalid out-interface=bridge2 log=no log-prefix=""
11 chain=output action=drop connection-state=invalid out-interface=bridge2 log=no log-prefix=""Kirill28.12.2016
10:20:20
10:20:20
[admin@MikroTik.Me] > /ip settings print
Gem28.12.2016
10:20:46
10:20:46
[admin@MikroTik.Me] > /ip settings print
ip-forward: yes
send-redirects: yes
accept-source-route: no
accept-redirects: no
secure-redirects: yes
rp-filter: no
tcp-syncookies: no
max-neighbor-entries: 8192
arp-timeout: 30s
icmp-rate-limit: 10
icmp-rate-mask: 0x1818
route-cache: yes
allow-fast-path: yes
ipv4-fast-path-active: no
ipv4-fast-path-packets: 0
ipv4-fast-path-bytes: 0
ipv4-fasttrack-active: no
ipv4-fasttrack-packets: 10912513
ipv4-fasttrack-bytes: 11260136251Kirill28.12.2016
10:22:02
10:22:02
mangle используешь?
Gem28.12.2016
10:22:54
10:22:54
mangle используешь?
там мизер - тоже выключал, без изменений
Flags: X - disabled, I - invalid, D - dynamic
0 D chain=forward action=change-mss new-mss=1320 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1321-65535
1 D chain=forward action=change-mss new-mss=1320 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1321-65535
2 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough
3 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
4 D ;;; special dummy rule to show fasttrack counters
chain=postrouting action=passthrough
5 chain=forward action=change-mss new-mss=1430 passthrough=yes tcp-flags=syn protocol=tcp out-interface=bridge2 tcp-mss=1321-65535 log=no log-prefix=""
6 chain=forward action=change-mss new-mss=1402 passthrough=yes tcp-flags=syn protocol=tcp out-interface=ipip-amst tcp-mss=1321-65535 log=no log-prefix=""
7 chain=forward action=change-mss new-mss=1358 passthrough=yes tcp-flags=syn protocol=tcp out-interface=ipip-wasd tcp-mss=1321-65535 log=no log-prefix=""
8 chain=forward action=change-mss new-mss=1430 passthrough=yes tcp-flags=syn protocol=tcp in-interface=bridge2 tcp-mss=1321-65535 log=no log-prefix=""
9 chain=forward action=change-mss new-mss=1402 passthrough=yes tcp-flags=syn protocol=tcp in-interface=ipip-amst tcp-mss=1321-65535 log=no log-prefix=""
10 chain=forward action=change-mss new-mss=1358 passthrough=yes tcp-flags=syn protocol=tcp in-interface=ipip-wasd tcp-mss=1321-65535 log=no log-prefix=""Kirill28.12.2016
10:23:36
10:23:36
chain=forward action=change-mss new-mss=1430 passthrough=yes tcp-flags=syn protocol=tcp out-interface=bridge2 tcp-mss=1321-65535 log=no log-prefix=""
чё это?
у вас бридж менее 1500
?
Gem28.12.2016
10:25:54
10:25:54
chain=forward action=change-mss new-mss=1430 passthrough=yes tcp-flags=syn protocol=tcp out-interface=bridge2 tcp-mss=1321-65535 log=no log-prefix=""
выравнииваю mss выборочно - отключение эффектов не даёт
бриджи - стандартные
Flags: X - disabled, R - running
0 R name="bridge1" mtu=1500 actual-mtu=1500 l2mtu=1598 arp=enabled arp-timeout=auto mac-address=00:0C:42:F8:CA:C7 protocol-mode=rstp priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s
transmit-hold-count=6 ageing-time=5m
1 R name="bridge2" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled arp-timeout=auto mac-address=5C:D9:98:6B:D3:F1 protocol-mode=rstp priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s
transmit-hold-count=6 ageing-time=5m
2 R name="bridge3" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled arp-timeout=auto mac-address=00:0C:42:F8:CA:CA protocol-mode=rstp priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s
transmit-hold-count=6 ageing-time=5m
3 R name="loopback" mtu=1500 actual-mtu=1500 l2mtu=65535 arp=proxy-arp arp-timeout=auto mac-address=00:00:00:00:00:00 protocol-mode=rstp priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s
transmit-hold-count=6 ageing-time=5mGem28.12.2016
10:28:19
10:28:19
показывай НАТ теперь
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=src-nat to-addresses=чччч src-address=192.168.0.0/16 out-interface=bridge2 log=no log-prefix=""
Archawka28.12.2016
10:28:31
10:28:31
А вообще щас вяжу вот из этой ебанутой пряжи снуд мебиуса жене своей
а снуд классический именно мебиусом, иначе неудобно.
Alexander28.12.2016
10:29:19
10:29:19
Kirill28.12.2016
10:29:24
10:29:24
GoogleGem28.12.2016
10:29:54
10:29:54
вешал на интерфейс - без результатно
Kirill28.12.2016
10:30:10
10:30:10
а зачем тебе бридж?
Gem28.12.2016
10:31:13
10:31:13
эпизодически включаю вланы со стороны оператора
Kirill28.12.2016
10:32:41
10:32:41
создай правило в НАТ
Kirill28.12.2016
10:33:28
10:33:28
chain=srcnat action=src-nat to-addresses=чччч out-interface=bridge2
Gem28.12.2016
10:33:45
10:33:45
Kirill28.12.2016
10:34:35
10:34:35
а какая шаранина каналу у тебя?
igor28.12.2016
10:37:01
10:37:01
Народ поясните пожалуста правила обработки пакетов в фаерволле
я че то ничего не пойму
Gem28.12.2016
10:37:18
10:37:18
GoogleGem28.12.2016
10:37:56
10:37:56
Kirill28.12.2016
10:38:29
10:38:29
у теб модель 2011 откуда 10Gbps?
AdminERROR: S client not available
igor28.12.2016
10:43:04
10:43:04
какое правило? чего хочешь достичь?
chain=forward action=accept protocol=icmp dst-address=95.156.95.247 connection-limit=100,32 log=no log-prefix=""пинга нету
Gem28.12.2016
10:43:20
10:43:20
igor28.12.2016
10:44:37
10:44:37
нет
igor28.12.2016
10:45:19
10:45:19
ip route print
95.156.95.247/32 192.168.7.5 1
да в филтер
по локалке нормально пингуется
с внешнки не хотит
Gem28.12.2016
10:48:09
10:48:09
@b22igor
как я понял - ты хочешь ограничить, но пропускать транзитный трафик на хоп 95.156.95.247 через свой микротик
соурсом для 95.156.95.247 является внешний гейтвей 192.168.7.5
верно?
GoogleGem28.12.2016
10:49:38
10:49:38
@b22igor
как я понял - ты хочешь ограничить, но пропускать транзитный трафик на хоп 95.156.95.247 через свой микротик
соурсом для 95.156.95.247 является внешний гейтвей 192.168.7.5
верно?
@b22igor
chain=forward в filter служит для ограничений(фильтрации) транзитного трафикаigor28.12.2016
10:49:58
10:49:58
да именно транзитный трафик
на хосте адрес 192.168.7.5 шлюз 192.168.7.1
алиасом висит адрес 95.156.95.247
Gem28.12.2016
10:50:53
10:50:53
да именно транзитный трафик
если всё верно - без данного правила - роутинг тоже должен работать
по дефолту accept - емнипigor28.12.2016
10:51:23
10:51:23
правила в порядке очередности же отрабатываются?
т.е. если данное правило accept то все дальше проверка прекращается?
Gem28.12.2016
10:51:58
10:51:58
т.е. если данное правило accept то все дальше проверка прекращается?
если нужно дальше - флаг passtrueigor28.12.2016
10:52:20
10:52:20
и самое интересное счетчики правил не бегут
Gem28.12.2016
10:52:56
10:52:56
igor28.12.2016
10:53:06
10:53:06
воот
так же думаю
но правило то вродже простое
токо dst-adress
без интерфейсов
Gem28.12.2016
10:53:38
10:53:38
если всё верно - без данного правила - роутинг тоже должен работать
по дефолту accept - емнип
дело не в правиле
без него роутинг должен работатьigor28.12.2016
10:54:19
10:54:19
когда первым правило ставлю forward accept то все работает
токо его делаю неактивным то все хана
Gem28.12.2016
10:55:28
10:55:28
@b22igor
там есть drop - reject?
+ я не увререн но емнип connection-limit может быть неприменим к icmp
igor28.12.2016
10:56:51
10:56:51
после этого правила
Открыть в Telegram