в мангле смотреть?

Да. Вешаешь increment в прероутинг

Форвард

спасибо!

В форварде может быть печалька, если пришло с ttl=1

Какой впн?

в целом это неважно. это может быть что угодно. главное это суть. в моем случае опенвпн

в целом это неважно. это может быть что угодно. главное это суть. в моем случае опенвпн

Тогда у тебя есть логический интерфейс, то что рассказываешь актуально только для чистого ipsec

Точнее туннельного режима

Вот если не указывать в правиле нат out-interface тогда, да это твой случай

Как факт, трафик в сторону провайдера должен 'всегда' попадать под нат

Было у меня исключение когда провайдер отдавал L3 vpn и интернет на одном интерфейсе

Тогда у тебя есть логический интерфейс, то что рассказываешь актуально только для чистого ipsec

не обязтельно. это кстати к безопасности сети тоже относится. У прова может случится все что угодно и он в какой-то момент выльет в твою стороны свои локальные сети(что-то вроде роут-ликинга в бгп). и твой трафик вместо того, чтобы по своим маршрутам отправиться уйдет прямиком к провайдеру. или например подключишь еще несколько провайдеров. у каждого своя технология и ситуация повторится.

Как факт, трафик в сторону провайдера должен 'всегда' попадать под нат

трафик, чтобы попадать на белые сети(интернет да), а все остальное исключить

Да как такта

Каким образом трафик вернётся до тебя, или ты провайдеру рассказываешь какая у тебя внутренняя сеть?

Каким образом трафик вернётся до тебя, или ты провайдеру рассказываешь какая у тебя внутренняя сеть?

за меня это делает НАТ. Вот кстати твой случай: ты говоришь что провайдер тебе отдает 10.0.0.0/22?

Да

Да

Вооот. Скажи зачем тебе видеть его остальные сети к примеру 10.0.0.0/24? вот будет какой-нить у тебя хост или еще что. Тебе нужен чистый инет. а в этом случае есть шанс увидеть локалку прова. Тут есть 2 варианта: если в этой локалке какие-то внутренние ресурсы и они необходимы(например локальный трекер или же форум), тогда исключать нельзя. Другой вариант: ты будешь достигать доступ к тем сетям, которые ты ви деть не должен или же за ними ничего такого нет. Возможно где-то могу не совсем ясно выражать мысль. Но вот как-то так

мысль уловил, наверное

т.е запретить ходить на внутренние русурсы провайдера?

Всю голову сломали вы мне своими баталиями

тогда для этого нужен фильтр в фаерволе

Всю голову сломали вы мне своими баталиями

мне действительно интерсено

т.е запретить ходить на внутренние русурсы провайдера?

если не нужны то желательно да.

мне действительно интерсено

Ему нужно фулвью подогнать) пущай развлекается)

))

Вооот. Скажи зачем тебе видеть его остальные сети к примеру 10.0.0.0/24? вот будет какой-нить у тебя хост или еще что. Тебе нужен чистый инет. а в этом случае есть шанс увидеть локалку прова. Тут есть 2 варианта: если в этой локалке какие-то внутренние ресурсы и они необходимы(например локальный трекер или же форум), тогда исключать нельзя. Другой вариант: ты будешь достигать доступ к тем сетям, которые ты ви деть не должен или же за ними ничего такого нет. Возможно где-то могу не совсем ясно выражать мысль. Но вот как-то так

тут либо фаервол, либо тип маршрута prohibit сделать, рно точно не НАТом

тогда для этого нужен фильтр в фаерволе

фаервол будет проц будет подгружать, да и зачем лишнее правило

тут либо фаервол, либо тип маршрута prohibit сделать, рно точно не НАТом

Маршрутом для проца выгоднее) но это такой ПИЗДЕЦ))))

фаервол будет проц будет подгружать, да и зачем лишнее правило

А Нат не будет)

А Нат не будет)

не будет. потому что ната и не будет. будет уже обычная маршрутизация.

не будет. потому что ната и не будет. будет уже обычная маршрутизация.

Так. Ещё раз правило дай

фаервол будет проц будет подгружать, да и зачем лишнее правило

исключив сеть из НАТ, это не говорит что трафик не уйдёт в сторону провайдера. это говорит что трафик уйдёт неизменным и в 99.999% он умрёт на бордере. т.е другими словами ты свою сеть засветишь на всех устройствах провайдера. ))

add action=masquerade chain=srcnat comment="NAT Internet" out-interface=ether1

говорят неправильно ))

а если ты борешся за ресурсы ЦПУ то используй RAW, это место где можно отбросить трафик до появления конекта

говорят неправильно ))

я сказал что несовсем корректно так использовать. дополнительно надо еще адрес-листы подключить

я сказал что несовсем корректно так использовать. дополнительно надо еще адрес-листы подключить

какие?

add action=masquerade chain=srcnat comment="NAT Internet" out-interface=ether1

Правильно. В форварде лист навесить ток, кому фулнат нельзя и все

что в этих адрес листах

какие?

для локального дст-трафика

Правильно. В форварде лист навесить ток, кому фулнат нельзя и все

вот и я о том же

Правильно. В форварде лист навесить ток, кому фулнат нельзя и все

и что это правило будет делать?

вопрос та был отсюда

Ребят, а покритикуйте пожалуйста (ток по делу) https://nixman.info/?p=2752 В общем такой себе базовый мануальчик по поднятию офисного роутера из микротика. Полноценной лабы сейчас нет возможности поднять, так что мог кой чего упустить ;)

/ip firewall nat add action=masquerade chain=srcnat comment="NAT Internet" out-interface=ether1 src-address-list=internal-nets dst-address-list=!internal-nets - вот человек меня понял

и что это правило будет делать?

Есть сеть /24 из неё нужно пару айпишников не выпускать в инет. Правило маскарада без src листов. Где мне трафик дропать?

вот вы и не поняли дург друга ))))))))))))))0

Есть сеть /24 из неё нужно пару айпишников не выпускать в инет. Правило маскарада без src листов. Где мне трафик дропать?

яя тебя понял, но человек описывает конфигурацию, и там всё это уже есть

Там есть то, что не натить трафик из сети 192.168.0.1 в 192.168.0.1

/ip firewall nat add action=masquerade chain=srcnat comment="NAT Internet" out-interface=ether1 src-address-list=internal-nets dst-address-list=!internal-nets - вот человек меня понял

у тебя может быть ситация что трафик уёдет в сторону провадйера без нат, зачем это делать?

у тебя может быть ситация что трафик уёдет в сторону провадйера без нат, зачем это делать?

Вот это учитывая про forward я и сказал)))

и зачем это?

Даблять! Что к прову трафик не пошёл! Который не предусмотрен в нате

так он пойдет, НАТ не фаервол, он не блочит

так он пойдет, НАТ не фаервол, он не блочит

Если я в форварде его грохну?

Это как?

rc-address-list=internal-nets dst-address-list=!internal-nets

Кирилл, посмотри на схему и скажи какие сети ты видишь?

что должено быть в этих двух адрес листах?

rc-address-list=internal-nets dst-address-list=!internal-nets

Да! Здесь пойдёт

что должено быть в этих двух адрес листах?

это один адрес-лист

ок

что должоно быть в этом адрес листе?

так он пойдет, НАТ не фаервол, он не блочит

Я и соглашаюсь с тобой! Что при указании src листов в нате, не попавший трафик уйдёт к прову без маскарада

ERROR: S client not available

Как есть

именно

что должоно быть в этом адрес листе?

ещё раз

И говорю, что форвард нужно юзать!

А что такое raw?

И говорю, что форвард нужно юзать!

и я с тобой соглашусь

это один адрес-лист

что должно быть прописанно в этом аджрес листе?

А что такое raw?

Трафик обрабатывается до коннекта

Трафик обрабатывается до коннекта

Дома стоит юзать?

Дома стоит юзать?

нет

А на работе?

2 железки, ипсек+гре

Дома стоит юзать?

Я там юзаю дроп с отлупом от брутфорсеров

А на работе?

если память заканчивается, то можно

Дома

Я там юзаю дроп с отлупом от брутфорсеров

Я запихиваю в лист , и блокирую лист

Дропом

А надо raw указывать?

Дропом

Я тоже, только не на инпуте, а в раве на прероутинге

он никуда не уйдет. трафик на роутере помрет,если провадер явно не укажет что за твоим адресом есть эти сети. тот трафик, который не будет натиться, он превратиться в обычную маршрутизацию

Я замерял, рав жрет меньше проца на 27-30% на 951G

он никуда не уйдет. трафик на роутере помрет,если провадер явно не укажет что за твоим адресом есть эти сети. тот трафик, который не будет натиться, он превратиться в обычную маршрутизацию

В интернет уйдёт, если явных правил нет у прова

он никуда не уйдет. трафик на роутере помрет,если провадер явно не укажет что за твоим адресом есть эти сети. тот трафик, который не будет натиться, он превратиться в обычную маршрутизацию

что должно быть прописанно в адрес листе?

Обратно просто не вернётся

Я тоже, только не на инпуте, а в раве на прероутинге

Примеры, ссылки?

Я прероутинг ваще не юзаю

Я замерял, рав жрет меньше проца на 27-30% на 951G

RAW насколько я понял работает до коннешн-трекинга

RAW насколько я понял работает до коннешн-трекинга

Именно

Как мало я всего знаю...

Примеры, ссылки?

Вот у тебя есть правило на дроп в Filter

Расскажите, просветите, дайте мануалы

Вот у тебя есть правило на дроп в Filter

Есть