да в этом плане я вообще за микротик не переживаю, я знаю что там в 2 гига памяти можно положить спокойно 4 фулл вью и там еще останется

в джунипер 80 или 104 когда сток засовываешь он минут 10 думает и потом съедает 70% доступной памяти. При том что микротику минуту надо где-то что бы все маршруты принять

http://lantorg.com/article/nanobridge-prevraschayutsya-ili-linejki-nanobeam-i-powerbeam

Спс за инфу

Спс за инфу

основная проблема такой линейки - это низкая пакетная производительность, хотя может уже и пофиксили

на нанобриджах с этим одно время мучались

ну у меня заказчик ни разу не жаловался с момента установки)

http://scr.keikogi.ru/jidckii/1489168814571.png

Чот нифига не свежий у вас

И это я на последний еще не обновлял

ну я год назад ставил

не обновляю то, что работает и не поребует масштабирования

Ну там много чего поменялось

В принципе пашет да и ладно

Одно только НО - эти козлы до сих пор не сдали кастомизацию самих ваучеров

Приходится самому лопатить конфиги. В итоге забил и у меня сисадмин в эксельке сделал двусторонние и теперь генерирует талоны и цифры переносит туда т печатает, грит ему так проще:) мне все равно, лишь бы работало:)

Зато кастомизацию портала сделали :) хоть за это спасибо:)

ну как бы чет я не вижу никаких средств диагностики нормальных

скорее всего кроме веб морды мало что поменялось

скорее всего кроме веб морды мало что поменялось

Как то вы очень любите выдавать желаемое за действительное) Вы сначала попробуйте, потом критикуйте

я снова выхожу на связь. время в микроте не синхронизируется. наружу 123 udp открыт

в sntp живые сервера

"наружу 123 udp открыт" - а на вход?

"наружу 123 udp открыт" - а на вход?

а пойду-ка я спать

правило выключил случайно

^^

спасибо)

чет ржу)

Кстати, а давно в sntp нельзя поменять режим и там только броадкаст?

Вопрос, если клиентов отправлять на внешний сайт с приложением для авторизации. Как потом пользователя авторизовывать на контроллере? В случае с микротом мы его просто редиректим на 172.16.16.1/login?user=***&password=*** (по дефолту). Тут такое возможно?

Кстати, а давно в sntp нельзя поменять режим и там только броадкаст?

Пакет ставь - будет и все остальное.

Чот я в глаза ебусь. Закинул VLAN через EoIP, нужно сделать этот влан аксессом на эзернет порту. Сделал бридж с вланом - как-то не работает.

ага, в свиче настройка, спасибо

Вопрос, если клиентов отправлять на внешний сайт с приложением для авторизации. Как потом пользователя авторизовывать на контроллере? В случае с микротом мы его просто редиректим на 172.16.16.1/login?user=***&password=*** (по дефолту). Тут такое возможно?

Хер его знает:) я авторизую контроллером.

У меня микротик юзается на работе лишь для связи территорий по gre+ipsec . Он занимается маршрутизацией , я не даю на него всякие обработки и прочее, для этого у меня есть свои девайсы

В тему нестандартного применения микротика. Знакомый товарищ увлекся выращиванием всяких лимонов, перцев острых и т.п. (мариванну не выращивает есличо :) благо целая комната пустует. У нас север, света мало. Купил хитрых ламп всяких. Включать их надо по расписанию. Взял микротик с poe выдачей, обычную релюху, наваял скрипт, повесил на шедулер, бинго :). Щас ещё таки хочет его к инету подцепить, чтобы время по ntp синхрилось и камеру подключить, чтобы за процессом в командировках следить :)

а не проще такое на esp8266 сдеать ?

https://habrahabr.ru/post/323658/

А микротик просто без дела на работе валялся ) халява, сэр )

https://habrahabr.ru/post/323658/

Кто проверял? С какой версии поправили?

Топик почитать не судьба?

Кто проверял? С какой версии поправили?

38.5

37.5

у просто везде HTTP закрыл

Вроде только current и rc поправили. Bugfix тоже?

Вроде только current и rc поправили. Bugfix тоже?

вроде бы

на днях новый багфикс вышел

поправили 100%

Топик почитать не судьба?

А что топик? У меня больше доверия к нашим специалистам из чата.

А что топик? У меня больше доверия к нашим специалистам из чата.

Ну это к вопросу "с какой версии поправили". В топике есть

Вопрос был - кто проверял САМ.

А как тут "самим" проверить исправили или нет, если не то что эксплоита, а даже публично доступного подробного описания уязвимости нет. Остаётся доверять команде разработчиков, что они получили подробные данные или уже сами выявили данную уязвимость и исправили её.

в смысле нет?

выложили же скрипт

Где? Я что-то пропустил?

ща поищу

Только название скрипта фигурирует, ни что, ни как он делает вчера утром ещё известно не было

А в каких версиях исправили - смотреть чейндж логи релизов после 8 марта

был скрипт на пайтоне еще несколько дней назад

Если найдёте сам файл скрипта, сообщите нам сюда. Я или ещё кто из чата, кто дружит с python, сможем посмотреть что внутри и проверить на своих устройствах или виртуалках. Но, пока, я видел только упоминание этого скрипта и обещания выложить его в будущем. Вот здесь и цитаты отсюда же https://wikileaks.org/ciav7p1/cms/page_16384604.html

Так что пока считаю опасения о взломах преждевременными, но уже планировать обновления там, где веб наружу закрыть нет возможности по каким-то причинам

И там где есть возможность, закрыть и спать спокойно, до следующей дыры ?

Кстати пришла рассылка, они пофиксили все три ветки

!) www - fixed http server vulnerability

На 38 версии изменили логику STP хоть у меня и не используется это, а все равно боязно переходить!

ERROR: S client not available

они еще и при переходе с 5 на 6 ветку меняли

а самоё стрёмное что я раньше не знал что там на всех бриджах при создании stp включался по умолчанию

Привет всем, как можно банить кто сканирует сеть, на уровне микротика этом ожно реализовать ?

Привет всем, как можно банить кто сканирует сеть, на уровне микротика этом ожно реализовать ?

https://youtu.be/NRcpH3j7JEk

с 19 минуты Александр вещает по теме

там правда SSH защищается от перебора паролей, но суть ясна и на примере настроить своё не сложно

Привет всем, как можно банить кто сканирует сеть, на уровне микротика этом ожно реализовать ?

Смотри в фильтре PSD

https://youtu.be/NRcpH3j7JEk

Вот я чот сел зырить этот видос и у меня вопросы

Ну даже если изнутри нарисовали маршрут во внутреннюю сеточку, херли толку с этого маршрута, если башка ответов всё равно будет перебиваться натом

Я чет не понимаю в чем автор увидел опасность, что без указанного правила сразу всё плохо

И сразу к тебе все интернеты стали ходить, как только прописали dst-ntwrk 192.168.88.0/24 via 90.1.1.1/32

чот нипанятн

Я чет не понимаю в чем автор увидел опасность, что без указанного правила сразу всё плохо

Спуфинг

И причём в ряде случаев можно установить соединение таким образом

Как минимум получить кучу инфо об атакуемой сети

Спуфинг

Спуфинг в виде подмены чего на чего?

Всякого дерьма на всякое дерьмо

Например сип

Например сип

Вы имеете ввиду сейчас ситуацию когда сип сервер внутри и к нему проброшены порты? Давайте разберем когда вообще ничего не проброшено и просто маскарадинг для внутренних клиентов

Вы имеете ввиду сейчас ситуацию когда сип сервер внутри и к нему проброшены порты? Давайте разберем когда вообще ничего не проброшено и просто маскарадинг для внутренних клиентов

Долго расписывать, без проброса и защиты со стороны ван атака осуществима при некоторых обстоятельствах

Вы можете только верить или нет в ее осуществление

Долго расписывать, без проброса и защиты со стороны ван атака осуществима при некоторых обстоятельствах

Я просто пытаюсь понять, ну например прилетело как будто бы из rfc1918 диапазонов да, ну ответ то на какой адрес улетит потом?

Роутер он всегда роутер, а нат это односторонняя модификация

Изнутри наружу

Обратно если перекрытия нет пакеты идут без изменений

Поправка - надо находиться в подсети ван роутера для осуществления атак

А у провайдеров с "серыми" адресами эти wan подсети могут быть вполне себе большими и есть вероятность что из них кто-то таки назначит вас своим шлюзом и будет ходить к вашим домашним устройствам...

И это тоже

я такое встречал кстати