Идёшь в raw и пишешь тоже самое, тока chain=prerouting

Т.е. полный клон только в раве?

Клон правила в смысле

Бля, так с RAW можно FastPath юзать получается?

Т.е. полный клон только в раве?

Да! С заменой чайна

что должно быть прописанно в адрес листе?

твои локальные сети. Вот если посмотреть схему которую снэйк прислал. у него есть сети 192.168.88.0/24, 192.168.89.0/24, 192.168.90.0/24. Вот эти сети и прописываются в интернал-нетс.

твои локальные сети. Вот если посмотреть схему которую снэйк прислал. у него есть сети 192.168.88.0/24, 192.168.89.0/24, 192.168.90.0/24. Вот эти сети и прописываются в интернал-нетс.

и не прикаких такой трафик в правило нат не попадёт, так как есть всегда меньший маршрут чем 0.0.0.0/0

Жаль только что у RAW tarpit нет. ДДосерам несладко было бы.

Народ, кто каким брокером пользуется для получения IPv6, если провайдер не дает?

Я подключился через 6to4 на 192.88.99.1 имею 13-20%% потерь пакетов ((

Жаль только что у RAW tarpit нет. ДДосерам несладко было бы.

Tarpit на Connection-tracker живет.

Я к какому-то эникасту подключался, было нормально, не помню уже какому, правда. Может, и к твоему же. Дома уже года с девятого в6 нативно.

Я к какому-то эникасту подключался, было нормально, не помню уже какому, правда. Может, и к твоему же. Дома уже года с девятого в6 нативно.

У меня долюанный билайн за 1 рубль с l2tp

и не прикаких такой трафик в правило нат не попадёт, так как есть всегда меньший маршрут чем 0.0.0.0/0

это правило нужно тот трафик, который ты направляешь из своей локальной сети в свою же локальную сеть. (вот например адрес 192.168.90.2 захочет обратиться на адрес 192.168.88.5), а такая есть еще есть у провайдера Вот как на схеме. то трафик пойдет через провайдера. А вот если указать это правило, то не даст натить свои адреса на прова

ты не прав

извини

У меня долюанный билайн за 1 рубль с l2tp

Мне что-то нетбайнетовский 6-4 на ум приходит

чтобы уйти через инетрфейс провайдера, ему нужен маршрут, а маршрут в cторону провайдара 0,0,0,0/0. У тебя ещё обявленные сети, так вот они под правило не попадут, так как в правиле указан явно out-interface

чтобы хоятыб попасть под такое правило add action=masquerade chain=srcnat comment="NAT Internet" out-interface=ether1 src-address-list=internal-nets dst-address-list=!internal-nets

out-interface=ether1

Ребят, а покритикуйте пожалуйста (ток по делу) https://nixman.info/?p=2752 В общем такой себе базовый мануальчик по поднятию офисного роутера из микротика. Полноценной лабы сейчас нет возможности поднять, так что мог кой чего упустить ;)

Shaping это от слова "Шапка"?

Shaping это от слова "Шапка"?

Да! Закидали шапками) зашапкали

Shaping это от слова "Шапка"?

незнаю, немоё

Ты просил покритиковать по делу))

чтобы уйти через инетрфейс провайдера, ему нужен маршрут, а маршрут в cторону провайдара 0,0,0,0/0. У тебя ещё обявленные сети, так вот они под правило не попадут, так как в правиле указан явно out-interface

out-interface указывается куда НАТить, а точнее через какой интерфейс

Ты просил покритиковать по делу))

это я просто повторил

out-interface указывается куда НАТить, а точнее через какой интерфейс

out-interface - не указывается, а выберается

Мда...

это выборка трафика

Да ладно, норм все )))

я уже устал

я уже устал

Сложно спорить с людьми)))

)))

Вот интересно, а если указать два правила ната с разными интерфейсами, Микротик взорвется????

Просто слово Shaping выраванное из контекста выглядит забавно

Вот интересно, а если указать два правила ната с разными интерфейсами, Микротик взорвется????

Наприер?

Вот интересно, а если указать два правила ната с разными интерфейсами, Микротик взорвется????

пример

Вот интересно, а если указать два правила ната с разными интерфейсами, Микротик взорвется????

ниче с ним не будет. если 2 провайдера, то норм все будет

ниче с ним не будет. если 2 провайдера, то норм все будет

Тогда вы противоречите своему предыдущему сообщению

на eth1 - ISP1, eth2-ISP2 чеб он взорвался

Тогда вы противоречите своему предыдущему сообщению

в чем?

@vasilevkirill @IlyaKnyazev это сарказм

out-interface указывается куда НАТить, а точнее через какой интерфейс

В этом

Как Микротик выберет куда натить?

подсказать?

ну во-первых так же как и в файрволе правила отрабатываются сверху вниз

нет

Сверху вниз, пока не совпадут условия и экшн будет терминирующий

куда

Сверху вниз, пока не совпадут условия и экшн будет терминирующий

+

куда - это имеет ввиду инетрфейс, инетрфейс выберается в routign decision

на момент работы src-nat интерфейс уже выбран, это как факт

Все? Мы победили?)))

Все? Мы победили?)))

а мы разве сражались?

и кто должен был победить или проиграть?

а мы разве сражались?

Донести истину - то ещё сражение

Эцнов я:) то есть таблица Рав это такой же файрвол, ток рубит сразу?

Эцнов я:) то есть таблица Рав это такой же файрвол, ток рубит сразу?

Типо того))

Что первее выполняется - Рав или филтер?

Видимо Рав?

Рав

Рав

Тады почему юзают фильтр а не Рав везде?

Рав появился начиная с версии 6,36

Тады почему юзают фильтр а не Рав везде?

Относительно новая фича

Что ж энтузиасты не выкладуют настройки с Рав?

ERROR: S client not available

эммм, а где в схеме выше рав?

кстати, а почему ее раньше не было. вроде микрот фаервол взяли от iptables

Там тоже форвардинг есть, или я лезу к соседям в огород со своими саженцами?

эммм, а где в схеме выше рав?

Это старая схема

Что ж энтузиасты не выкладуют настройки с Рав?

мне кстати РАВ ой как сильно пригодился пару месяцев назад

Я если честно в этой схеме нихера не понимаю. Нет ли схемки для лётного состава?:)

прероутинг рав филтер

ёптвоюмать...

шта ? )

Серег спасибо.

вот эта "ептавоюмать" )))

Поправьте если не прав: сначала проверяется прероутинг, далее если трафик новый то инпут, далее аутпут, и построутинг. Если трафик уже был такой то прероутинг, форвард, прстроутинг

Так? Или я обожрался дури?

raw - это ДО connection tracking?

да..это более нагляднее

raw - это ДО connection tracking?

да

уф

и он, получается, не дает такой нагрузки на цп?

Да я молодец, блеать!

за картинки спасибо Илье Князеву, это его копирайт.

А терь картинки запакуй и положи сюда архивом, чтоб все кому надо качнули в хорошем качестве

и он, получается, не дает такой нагрузки на цп?

Да, но многого не умеет в итоге

их уже не один раз в чатике форвардили

А терь картинки запакуй и положи сюда архивом, чтоб все кому надо качнули в хорошем качестве

Вот сейчас экспортну диаграммы из омниграфла ))) В размере 100*100. мтеров в 300dpi. Готов качать? )))

и он, получается, не дает такой нагрузки на цп?

ага. он от ддоса хорошо помогает.

ага. он от ддоса хорошо помогает.

От дудоса ничего не помогает)))

Разница по нагрузке примерно 15%