Ну а где им еще быть, если он только через L2TP с внешним миром общается?

Повесить отдельно правила на eth1 не могу - он в бридже с портами для приставок

Вешайте на бридж

На бридже так же

вернул на интерфейс и поднял чуть повыше правило

и заработало

chain=input action=drop protocol=udp src-address-list=!DNS in-interface=Beeline dst-port=53 log=no log-prefix="" В листе список днс серверов, которым доверяем

Все ж верно?

и порт не dst а src

А зачем? Чем вам стандартный вариант не угодил?

какой стандартный?

Все ж верно?

Нет не верно. Закрываете на in DNS вообще и разрешаете established

Нет не верно. Закрываете на in DNS вообще и разрешаете established

где там решение с https?)

а esteblished - это в forward, верно?

где там решение с https?)

В пизде пока что... работаю над этим. Есть мнение, что без сквида все же не обойтись... чёт я слегка поторопился с openwrt.. костыли придётся городить блин.

Сквид - это однозначно)

вопрос в том, что получится ли вставить 302

вопрос в том, что получится ли вставить 302

Ща дособиру нормально сквид. Ибо он with-ssl нихера на openssl не собирается. Завтра патчи нахуярю и в бой

кароче. У Меня вот так

/ip firewall filter add action=accept chain=input comment=Established connection-state=established,related add action=accept chain=input comment=Management dst-port=22,8291 protocol=tcp add action=accept chain=input comment=ICMP protocol=icmp add action=accept chain=input comment="IPIP Tunnels" protocol=ipencap src-address-list=ACL_IN_IPIP_ALLOW add action=accept chain=input comment=DNS dst-port=53 protocol=udp src-address-list=ACL_IN_DNS_ALLOW add action=drop chain=input comment="INPUT DROP" add action=accept chain=input comment="END INPUT" disabled=yes

add action=accept chain=input comment=DNS dst-port=53 protocol=udp src-address-list=ACL_IN_DNS_ALLOW

И чем оно от моего отличается?)

у меня только интерфейс указан)

add action=accept chain=input comment=DNS dst-port=53 protocol=udp src-address-list=ACL_IN_DNS_ALLOW

Тем, что мне нужны внешние запросы, а тебе нет

У тебя только Микрот ходит за DNS? К микроту не ходят?

ну к нему хотят по локалке

все что за nat

А с другой стороны как раз и закрываю, что бы не ходили

А с другой стороны как раз и закрываю, что бы не ходили

Первое правило в моем примере разрешает самому микроту строить соединения куда угодно

секунду

но оно ж дефолтное

=)

Ахуеть, да?

Только я всегда микроты в 0 сбрасываю)))

Это настолько специфично, что нормальный документ всё равно писать с нуля, исходя из вашей конкретики, обрабатываемой информации, ее категорий, модели нарушителей и целей, которые хотите достичь этим документом.

Тут не совсем прям ИБ, а именно правила поведения в сети, политика сложности паролей, ответственность если под твоим логином нашкодят и т.д. народ заколебали пароли сбрасывать на Q1w2e3r4t5 и такого плана

Первое правило в моем примере разрешает самому микроту строить соединения куда угодно

А вот щас не понял. Первое правило разрешает входящие установленные и зависимые соедининения, при чем тут сам микротик? Может ты опечатался? А то я читать и чувствую себя идиётом:)

От микрота трафик output же

Тут не совсем прям ИБ, а именно правила поведения в сети, политика сложности паролей, ответственность если под твоим логином нашкодят и т.д. народ заколебали пароли сбрасывать на Q1w2e3r4t5 и такого плана

А руководство готово на людей вешать эту ответственность и поддерживать это санкциями? Тогда документ имеет смысл. Сброс паролей пользователями для меня выглядит странно, я привык к другому, должен быть порядок генерации и выдачи паролей, желательно одним лицом или подразделением, раз за действия под логином возможны негативные последствия.

От микрота трафик output же

Почитайте оф.инфу, она не сложная. Как раз цепочки описаны подробно и доступно: https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Chains

А руководство готово на людей вешать эту ответственность и поддерживать это санкциями? Тогда документ имеет смысл. Сброс паролей пользователями для меня выглядит странно, я привык к другому, должен быть порядок генерации и выдачи паролей, желательно одним лицом или подразделением, раз за действия под логином возможны негативные последствия.

Все это есть, но пользак сам меняет пароль. Собственно и нужно положение, в котором будет устанавливаться регламент выдачи паролей и т.д., будет указано что сменить нельзя и т.д.

всм привет

подскажите как в терминале указать диапазон портов при довабвлении их в бридж

Отключение и включение telnet/ssh не помогло

Народ, а встречал кто повисание терминала на тиках? Выглядит так - в винбокс кнопка new terminal запускает пустое окно, по ssh логинится и тоже нет комстроки.

Баннер микротика появляется через минуту, а комстрока нет

Народ, а встречал кто повисание терминала на тиках? Выглядит так - в винбокс кнопка new terminal запускает пустое окно, по ssh логинится и тоже нет комстроки.

было такое на 1036. Решалось так: жмешь на supout, он генерит файлик и микрот отпускает

Боится, что отправлю и нажалуюсь? ?

Как раз тоже 1036, начал делать supout

Всем привет! Чат, помоги разобрться с этими MTU... У меня короче маршрут: qnap —> debian —--------> freebsd (голый l2tp server) —--------------(интернет)----> Mirkotik (iptables set-mss 1300) (l2tp-интерфейс mtu=1300) (l2tp интерфейс mtu=1300) ну и не работает ?

L2tp mtu выше

Надо

на дебиане ничего не нужно делать, там 1500

Mtu это сумма mss и заголовков

Трафик идет от qnap в сторону микротика на Freebsd tcpdump выдает такое 192.168.44.15.62195 > 192.168.23.254.445: Flags [P.], seq 39665:40213, ack 1722615, win 888, length 548SMB-over-TCP packet:(raw data or continuation?)

я так понял надо сложить кучу заголовков? это получается ipv4 внутри l2tp + tcp потом ipv4 снаружи l2tp + tcp ??? Так?

сначала тестируешь мту между микротиком и фрибсд

назначаешь это на фрибсд

сначала тестируешь мту между микротиком и фрибсд

ping -l -f?

на микроте он сам создаст правило fix-mss и т д

играешься снижением мту пока не пойдут пинги в 1500

начинаешь от 1460 например

играться надо мту туннеля на стороне фрибсд

я так понимаю провайдером всё равно заданы какието mtu?

могут быть заданы

не всюду ж 1500

ERROR: S client not available

особенно если всякие туннели для выхода в инет нужны

начинаешь от 1460 например

изначально так и было... я потом психанул и установил 1300

нужно временно разрешить всюду ICMP чтобы не пропадали сообщения о необхходимости уменьшения мту

от этого начал пытаться плясать и яйца помешали

я как-то раз работал с мту 500

))))

icmp внутри разрешено полностью

я как-то раз работал с мту 500

я даж не знаю как реагировать, в mtu не понимаю ничего ((

через модем и X.25

через модем и X.25

в глаза такого не видел ?

у меня опыта не много)

древняя фигня была)

понятно

в общем то что я описал - спасает в поисках нужного мту

играться нужно только мту туннеля

и не помню если честно надо ли на стороне бсд фиксить мсс

А на бриджах мту 1500 нужно ставить?

уже лет 10 на бсд туннели не строил

по дефолту на бриджах

Создал тунель eoip и интереет упал, но как только я на тунеле поставил мту 1500 все поднялось и на бриджах

Это правильно?

Кто завтра на MUM? )))

а где мум

Создал тунель eoip и интереет упал, но как только я на тунеле поставил мту 1500 все поднялось и на бриджах

ну значит что-то было задето из настроек лишнее если инет упал

Кто завтра на MUM? )))

где?

Новосиб

Новосиб

эх

далековато

в мск на мум было интересно

народ, вопрос есть. есть два провайдера. оба по ДХЦП выдают адрес. Как бы сделать маршрут с роутмарком через второго провайдера?

несколько новых моментов узнал

Можешь как нибудь поглядеть настройки или конфиг