как на вход так и на выход

адок. я вообще люблю разрешать только нужные порты и ICMP Types, остальное в дроп

Ну так и есть, мы тоже практикуем этот же подход, коллега

Смотря где вешать. Если без нетфло по правилам, то поставить на in в mangle prerouting и на out в mangle postrouting

спасибо)

по снмп кстати снимаются счетчики эти?

А на плохих каналах в целях отсекания лишнего - еще и изнутри порезать нахер всё что не в списке

А список там ваще небольшой

Всего 9 строчечек в типовом конфиге

у меня система становится абсолютно невидимой и при этом полностью работоспособной

даже ICMP Unreach и прочие не шлет

при пробивке сканерами

Народ, нам выдали 1 белый ip и провели оптику, надо разделить интерфейсы на которые через нат будут транслироваться айпиадреса

То есть будет приходить два провайдера, а уходить на разные сети и сервера

Народ, нам выдали 1 белый ip и провели оптику, надо разделить интерфейсы на которые через нат будут транслироваться айпиадреса

Ты хо спросить как разделить 1 физический на 5 логических?)))

Не совсем

Скорее как 2 физических разграничить

Вернее раздать

На выборочные интерфейсы

Кстати аналог врф же в микротике есть?

Кстати аналог врф же в микротике есть?

Есть.

Я по нему презентацию делал на MUM в 2015

А дайте пожалуйста кейворд

Я по нему презентацию делал на MUM в 2015

гг я как раз ее зырю щас

))

Или Линк)

Народ, ну что кто подскажет как два ната поднять

Когда Илья в черной форме микротика - если прищурить глаза, можно подумать что это кимано

А дайте пожалуйста кейворд

Вараэф лайт там тока, но жить можно

Народ, ну что кто подскажет как два ната поднять

Самый простой способ некстхопами наверное

Когда Илья в черной форме микротика - если прищурить глаза, можно подумать что это кимано

(И на самом деле не Илья а Алексей), щутка

Или Линк)

https://mum.mikrotik.com/2015/RU/agenda/EN

Спасибо!

Народ, ну что кто подскажет как два ната поднять

Через мангал и листы

Самый простой способ некстхопами наверное

самый простой способ PBR

Когда Илья в черной форме микротика - если прищурить глаза, можно подумать что это кимано

Превый раз слышу такое сравнение. )) Слышал в Праге "Эсесовские рубашки" )))

самый простой способ PBR

А это не из той же оперы кстати?

У вас 2 провайдера и 2 внутренних подсети. Вам надо поднять маршрутизацию через Policy Based Routing (PBR) и поставить два маскарада в NAT

А правильно понимаю, что если 1 хост - то проще через Route Rules, а если уже много и хоцца списки - то уже мангал?

Это относительно ПБР вопрос

А правильно понимаю, что если 1 хост - то проще через Route Rules, а если уже много и хоцца списки - то уже мангал?

Мангал нужон будет в случае резервирования

Еще раз, от задачи ))) Обычно все равно надо маркировать input-output. А значит 2/3 задачи уде выполнено, чтобы все сделать через маркировку

Если просто распинать два прова в две сетки, не нужно

Еще раз, от задачи ))) Обычно все равно надо маркировать input-output. А значит 2/3 задачи уде выполнено, чтобы все сделать через маркировку

Вот Алексей также и говорил

Если просто распинать два прова в две сетки, не нужно

Для того чтобы микртик снаружи откликался, все равно пишешь маркировку. Хотя, да, я тут подумал, можно это через Route Rules решить

Для того чтобы микртик снаружи откликался, все равно пишешь маркировку. Хотя, да, я тут подумал, можно это через Route Rules решить

+

Я считаю, что лучше через маркировку. Опять же всякие DST Natы рулить

И для тех кто не в курсе. Микротик ищет маршрут сначала в именовой таблице, а потом если не найдет - в main. Чтобы перекрыть такое поведение - опять таки нужно писать route rule с lookup-only-in-table

Это я на всякий случай )))

Очень важная инфа как бы)

Так что спасибо

)

Это распостраняется на PBR. Если используются VRF то автоматический переход в main не происходит

Когда там полноценный vrf завезут?)))

Вопрос не по зарплате )))

Видать из разряда 7ROS)))

7 routerOS... Там столько всего обещается, что возникает два закономерных вопроса 1. Когда все это будет написано (и будет ли) 2. На каком обновлении перестанет глючить, если конечно п.1 будет выполнен.

Например там вроде как обещают перекротить механихм ECMP роутинга

перекроить ))

7 routerOS... Там столько всего обещается, что возникает два закономерных вопроса 1. Когда все это будет написано (и будет ли) 2. На каком обновлении перестанет глючить, если конечно п.1 будет выполнен.

Именно))) да не хватает, по сути динамических интерфейсов в VRF и все

Например там вроде как обещают перекротить механихм ECMP роутинга

Вот это, кстати супер!

Вообще надо на MUM будет спросить что и как там планируется.

Балансировки нормальной в L3(

Я бы еще TE попросил доделанных )

Не, микротик вполне уже пригодный) но хочется немного больше, можно и подороже))

Ну подороже можем и сейчас ))) Обращайтесь, специально цену поставим )))

Как создать interfaces list

ERROR: S client not available

клякнуть по кнопке List, создать наименование. Потом туда засунуть интерфейсы

Спасибо

Я бы еще TE попросил доделанных )

)))) мелькало же openflow в бете?

)

Разобрались

Как теперь этот лист привязать к правилу

)))) мелькало же openflow в бете?

Да, пакет есть.

Ната

в правиле вместо интерфейса выбрать in-interface-list или out-interface-list

Да, пакет есть.

Полдела))) а вообще нужно пощупать новые crs с swos

Не swos это странная штука.

Ну пока что

Там половины нет того, что хочется от L2 коммутатора.

Вообще свитчинг пока печальный

А в ROS типа свитчинг не странный?))))

Вообще свитчинг пока печальный

+

в ROS его иногда можно подпереть CPU.

Вам перевести?

in-interface не может использоваться в src-nat

Помню долго привыкал к цисковому inside outside)))

Это будет новое правило dstnat

)))

?

Тогда chain поставьте праивльный

Цепочка dstnat - это то что под натом а srcnat это то что за натом?

Ц

??? Цепочка dst-nat меняет dst-address. src-nat, что логично, наооборот

И для тех кто не в курсе. Микротик ищет маршрут сначала в именовой таблице, а потом если не найдет - в main. Чтобы перекрыть такое поведение - опять таки нужно писать route rule с lookup-only-in-table

Это касается если делать через мангал?

Да