а как он будет понимать запросы *.site.name?

там добавилось site.name

сделай запрос LДНС

а vpn это L3 где работает только маршрутизация

Ну есть же L2 VPN))))

Ну есть же L2 VPN))))

))) на винде, га ))) даёшь MPLS/VPLS и ещё прикрутим TE

вот да

)

))) на винде, га ))) даёшь MPLS/VPLS и ещё прикрутим TE

Где-то BGP видел) перекрестился)

На 6.38.5 есть косяк с вафлей кстати. Зависают радиолинки

точно на 6.38.5? не могло на 6.38.3 появиться?

точно на 6.38.5? не могло на 6.38.3 появиться?

Заметил на 5, может и с 3 идёт

```chain=input action=drop protocol=tcp in-interface=WAN port=53 chain=input action=drop protocol=udp in-interface=WAN port=53``` Этого же достаточно, чтоб из мира в меня не долбились за днс? Или я что-то забыл?

Удивительно дохрена мне льют туда трафика 0_0 За один тик вебинтерфейса ~5k пакетов

```chain=input action=drop protocol=tcp in-interface=WAN port=53 chain=input action=drop protocol=udp in-interface=WAN port=53``` Этого же достаточно, чтоб из мира в меня не долбились за днс? Или я что-то забыл?

надо нормально настраивать фильтр? как минимум разрешить established и relaited а остальное запретить

и того запрещать dns ненадо уже

```chain=input action=drop protocol=tcp in-interface=WAN port=53 chain=input action=drop protocol=udp in-interface=WAN port=53``` Этого же достаточно, чтоб из мира в меня не долбились за днс? Или я что-то забыл?

и tcp в ДНС использоваеть только при репликации

надо нормально настраивать фильтр? как минимум разрешить established и relaited а остальное запретить

это и в дефолтном конфиге было. Надо просто навести порядок, в том сраче, что я у себя в файрволе развёл >_<

это и в дефолтном конфиге было. Надо просто навести порядок, в том сраче, что я у себя в файрволе развёл >_<

У меня так: chain=input action=drop protocol=udp src-address-list=!DNS in-interface=WAN port=53 log=no log-prefix=""

это и в дефолтном конфиге было. Надо просто навести порядок, в том сраче, что я у себя в файрволе развёл >_<

можно как пример

/ip firewall filter add action=accept chain=input comment="ICMP Allow" in-interface-list=ISP protocol=icmp add action=accept chain=input connection-state=established,related in-interface-list=ISP add action=drop chain=input connection-state=invalid in-interface-list=ISP add action=accept chain=input comment="Winbox Allow" dst-port=8291 in-interface-list=ISP protocol=tcp add action=accept chain=input comment="PPTP Allow" dst-port=1723 in-interface-list=ISP protocol=tcp add action=accept chain=input comment="IPsec Allow From Address List" dst-port=500 in-interface-list=ISP protocol=udp src-address-list="IPsec Allow" add action=drop chain=input in-interface-list=ISP add action=accept chain=forward connection-state=established,related in-interface-list=ISP add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=ISP

Нужно просто Cisco ASA заюзать))

ладно, как мне настроить доступ так, чтобы разные пользователи попадали в разные подсети?

?

ладно, как мне настроить доступ так, чтобы разные пользователи попадали в разные подсети?

Firewall

что?

аа

Этож л3

ладно, как мне настроить доступ так, чтобы разные пользователи попадали в разные подсети?

"попадали" = т.е. имели доступ только к определённым сетям?

"попадали" = т.е. имели доступ только к определённым сетям?

именно

извиняюсь за косноязычие

используй разные профили,

а дальше в фильтре фильтруй уже нужные подсети по адрес листам

Кстати по поводу днс вопрос. Как мне редиректить запросы по 53 порту для бриджа на нужный мне днс сервер?

Что бы не могли ручками вбить в настройках свой ДНС и сидеть через него

add chain=dstnat action=redirect to-ports=53 protocol=udp in-interface=bridge-hs \ src-port=53 log=no log-prefix="" add chain=dstnat action=redirect to-ports=53 protocol=tcp in-interface=bridge-hs \ src-port=53 log=no log-prefix="" как то так?

add chain=dstnat action=redirect to-ports=53 protocol=udp in-interface=bridge-hs \ src-port=53 log=no log-prefix="" add chain=dstnat action=redirect to-ports=53 protocol=tcp in-interface=bridge-hs \ src-port=53 log=no log-prefix="" как то так?

Нет не редирект

Netmap

dstnat?

Это чейн, да нужен дстнат

а в остальном направления верные?

Я как то в них обычно путаюсь)

нет неверно

add chain=dstnat action=redirect to-ports=53 protocol=udp in-interface=bridge-hs src-port=53 log=no log-prefix=""

хотя

еще раз сформулируй вопрос

add chain=dstnat action=redirect to-ports=53 protocol=udp in-interface=bridge-hs src-port=53 log=no log-prefix=""

Хмм. И что сделает это правило?

Хмм. И что сделает это правило?

это копипаст

С 53 на 53? :)

С 53 на 53? :)

причём c src адреса

еще раз сформулируй вопрос

Есть бридж. Надо что бы всех клиентов, которые на нем сидят ходили только на заданный мной днс. И если в свойствах линка писали свой - их роутер отправлял на мой принудительно)

add chain=dstnat action=redirect protocol=udp in-interface=bridge-hs dst-port=53

все-таки редирект?

И еще в эту же сторону вопро

с

Микротик для хотспоте сам редиректит днс же?

add chain=dstnat action=redirect protocol=udp in-interface=bridge-hs dst-port=53

А если DNS сервер не Микрот?)))

всё ровно

цепочка dst-nat

привет парни, как откючить Dinamic коннект и всегда подключаться к своему серверу?

удали динамик, переподключится на статический бинд

наверное

с л2тп срабатывало

удали динамик, переподключится на статический бинд

да, потом отетит и подкл на din надел уже)

в статие точно верно указал имя пользователя?

да подкл все

иногда отлетает

на динамическом интерфейсе нажми кнопку copy

ERROR: S client not available

и профиле пользвоателя разреши только одно подключение

а дальше в фильтре фильтруй уже нужные подсети по адрес листам

благодарочка! ??

с инкоминг и аутгоинг фильтрами не очень понял, на самом деле

помогите не умному горе как правильно настроить queue tree чтобы в Download был одинаковое значение с tx на pppoe

с инкоминг и аутгоинг фильтрами не очень понял, на самом деле

фильтра не трогай и адрес лист тоже

?

ваще ничего не трогай. и иди домой.

?

извеняюсь не прочитал все изыскания :)

Охуенно помогаете же)

Зря в форвард добавил, создай кантом цепочку

Кастом*

А если в bridge setting значение "use-ip-firewall=no" (по-дефолту) - это значит что все что в бриджах под правила fw не попадает или как?

А если в bridge setting значение "use-ip-firewall=no" (по-дефолту) - это значит что все что в бриджах под правила fw не попадает или как?

Нет

Включая, ты можешь ловить в л3 фаерволе трафик между интерфейсами находящиеся в одном бридже.

аааа, вон оно что

спасибо)

Зря в форвард добавил, создай кантом цепочку

может есть мануал по этой части?

да всё просто

да я чето не въезжаю, зачем отдельную цепочку пилить то

чтобы "впихнуть" пользователя в определённые рамки

:global переменная после ребута удаляется из памяти?

да

ураааааааа

Прям гора с плеч

?

пароль засветил в глобале? ?

не

А есть мануал по синтаксис микротика? Както натыкался только на кантуженые пдфки

у меня тут есть скрипт

И в нем очень хочется переменную