Если у человека дропается весь входящий отдельное правило для 53 порта делать не обязательно
Maxim
mrgreyves
Maxim такс, смотри. Правило chain=input input interface=wan action=drop. ВОт про это правило. Смысл обстоит в том что не проскочит ли все таки днс запрос к микротику (мало ли какая особенность атаки)
mrgreyves
я всегда думал что не нужно делать отдельное правило для 53 порта
Maxim
нет, не проскочит. Ахмет прав
Ахмет
Ну если только нет желания за счётчиком наблюдать сколько именно влетело в днс.
Maxim
Запрос на 53-й порт попадает под общее правило
mrgreyves
вообще желания нет)
Ахмет
Тогда достаточно одного, Ахмет прав.
mrgreyves
Все спасибо! А то знаете бывает такое, все знаешь но кто нибудь может зародить семя сомнений)))
Semyon
включайте логический аппарат =)
Ахмет
В качестве флуда (злая панда не бань меня) если ты ЗНАЕШЬ никто не сможет посадить зерна сомнений.
mrgreyves
аппарат включен всегда, я ж про сомнения)
mrgreyves
@xufimec эт не про меня)
Ахмет
Если 2*2=4, то это так. И никто не способен заставить сомневаться что 2*2=5. Если способен, значит ты не знаешь точно. Ладно не будем злить панду. В личке поболтаем
mrgreyves
@Ахмет согласен. Но как только отдельное правило для дропа 53 порта опускаешь ниже правила для дропа всего нагрузка на проц 100% в профайле днс)
Evgenii
@Ахмет согласен. Но как только отдельное правило для дропа 53 порта опускаешь ниже правила для дропа всего нагрузка на проц 100% в профайле днс)
значит у тебя правило для дропа всего не верное :) воможно не верно выбран WAN интерфейс
mrgreyves
ну так если же не выбран инпут интерфейс то подразумеваются все интерфейсы)
mrgreyves
видимо засада где то еще)
Evgenii
дай экспорт правил фаервола
Ахмет
+
Evgenii
Если ты весь инпут блокируешь, то даже через WINBOX не подключишься, если выше нет разрешающих правил для винбокса. Подозрительное решение короче, блокировать весь инпут)
mrgreyves
внимание, прикол) у меня нет доступа к этому микроту, это мы товарищем пытаемся докопаться до истины) я без конфига)
mrgreyves
@igluko вкурсе
Maxim
Гадание на кофейной гуще по телефону, месье знает толк)
mrgreyves
Месье да)
mrgreyves
Такс, заканчиваем бугурт)
mrgreyves
Видимо дырень где то в правилах
Maxim
или колечко 😉
Ахмет
Или сущность в виде гномика
Ахмет
Всех с пятницей! )
mrgreyves
Кольцеобразная гномичья сущность в пятницу)
FoxPDLL
https://m.gazeta.ru/tech/news/2017/06/09/n_10159103.shtml
Евгений
https://m.gazeta.ru/tech/news/2017/06/09/n_10159103.shtml
РКН уже отстрелили себе ногу. Осталось подождать выстрела в голову.
Ахмет
Во всем обвинят провайдеров, которые все не так поняли например
Евгений
Во всем обвинят провайдеров, которые все не так поняли например
Да нет, там не обвинишь. Конкретный отстрел.
Евгений
Да нет, там не обвинишь. Конкретный отстрел.
Тема такая - РКН блокирует сайт porno.com
Проходит время обладатель домена меняет свой сайт на porno.tv
Домен porno.com - освобождается.
Я покупаю доменное имя porno.com и делаю ресолв на 5.255.255.77, 77.88.55.77, 77.88.55.88
Все, яндекс недоступен.
Евгений
Anonymous
Тема такая - РКН блокирует сайт porno.com
Проходит время обладатель домена меняет свой сайт на porno.tv
Домен porno.com - освобождается.
Я покупаю доменное имя porno.com и делаю ресолв на 5.255.255.77, 77.88.55.77, 77.88.55.88
Все, яндекс недоступен.
НОрмальные провайдеры блокируют по DNS имени а не по IP.
Правда у таких провайдеров по HTTPS заблокированные сайты доступны.
Евгений
НОрмальные провайдеры блокируют по DNS имени а не по IP.
Правда у таких провайдеров по HTTPS заблокированные сайты доступны.
Так я вроде на русском объяснил. Dns блокировка и описана.
Anonymous
Так я вроде на русском объяснил. Dns блокировка и описана.
Не, этот косяк у тех, провайдеров, которые запрешенные домены резольвят в IP и по IP блокируют.
Новотелеком же например напрямую лезет в http запрос и при наличии в host запрещенного домена блочит.
Alexander
Роскомнадзор телефонограмму прислал об отмене последнего распоряжения по белым спискам
Anonymous
Роскомнадзор телефонограмму прислал об отмене последнего распоряжения по белым спискам
А это еще что за распоряжение?
Marat
Anonymous
Marat
Чет не понял, то есть обязаны фильтровать только IP а в http трафик не лазить?
блокировать только по айпи из списка РКН, а не самим резолвить
SancheZ
Здравствуйте. Winbox удаленно может цепляться к устройству?
SancheZ
Достаточно пробросить порт наружу?
Evgenii
Да, никакой магии, взаимодействие через порт
Evgenii
Anonymous
И весь https трафик остается не заблокированным
Ну да, тот же рутрекер доступен по https у новотелекома.
Другой же провайдер Новосибирска (не помню кто) весь https трафик на IP адреса, в которые резольвяться запрещенные домены все равно через себя пропускает, а на вопрос "какого хрена у меня браузер ругаеться на возможную атаку "человек посредине"" ответ простой - вот вам сертификат и инструкция, установите в браузер и в систему в качестве одного из доверенных издателей и все ОК будет. То есть смотрят https гады
Evgenii
Ну да, тот же рутрекер доступен по https у новотелекома.
Другой же провайдер Новосибирска (не помню кто) весь https трафик на IP адреса, в которые резольвяться запрещенные домены все равно через себя пропускает, а на вопрос "какого хрена у меня браузер ругаеться на возможную атаку "человек посредине"" ответ простой - вот вам сертификат и инструкция, установите в браузер и в систему в качестве одного из доверенных издателей и все ОК будет. То есть смотрят https гады
Это провайдер делает по собственному желанию, а не по закону.. и херовый провайдер видимо, я ни разу в жизни такого не видел (Воронеж). Перехват https только подстегнет клиента уйти к другому провайдеру или использовать vpn, так как все пароли и платежные реквизиты тут же будут перехвачены.. это мягко говоря беспредел, и это точно не правильно!
Evgenii
Сто раз уже писали, что можно реализовать закон либо через блокировку ip, либо через перехват dns..
Dns как раз не затронет чужие сайты и будет эффективно в 99.9% случаев.. Остальные 0.01 пользователей никакие средства не остановят
Evgenii
Просто перехват dns ничем кроме vpn туннеля не обойти, а если есть vpn туннель, то ничего не мешает ходить на запрещенные сайты через него.. как ни крути надежно все равно не заблокировать, так что игры с https бессмысленны
Ахмет
Можно подумать блокировки ради блокировок делаются.
Ахмет
Как по мне блокирующих железок должно быть по число магистральных общероссийских провайдеров. Сколько их? 3? 5? Все равно весь трафик через них идёт, не?
Валерий
Тогда штрафовать всего 3-5 контор? Причем своих же по идее... А так с каждого провайдера по пару сотен тысч...
Anonymous
Сто раз уже писали, что можно реализовать закон либо через блокировку ip, либо через перехват dns..
Dns как раз не затронет чужие сайты и будет эффективно в 99.9% случаев.. Остальные 0.01 пользователей никакие средства не остановят
Ну на самом деле дом-ру (Эр-телеком или как его там) именно через подмену DNS и делает.
Вернее черещз перехват. Даже если у 8.8.8.8 спросить про рутрекер то ответ прийдет с IP заглушки эт-телекома.
Anonymous
А лазить в HTTPS и просить установить в корневые сертификаты свой - это да, беспредел.
Именно поэтому я и ушел от нега на новотелеком. Провайдер был какой-то совсем мелкий, районного пошибы, и по моему даже субпровайдер (у Новотелекома и Сибирских сетей трафик хавал и раздавал народу). У него даже белых IP не было, одни серые.
Ахмет
Тогда штрафовать всего 3-5 контор? Причем своих же по идее... А так с каждого провайдера по пару сотен тысч...
Вот и я о том толкую. Блокировки у нас за ради штрафов, а не за ради оберегания кого то от чего то
Andrey
Всем привет)
Andrey
подскажите, если не хватает айпов в пуле - как можно использовать следующий пул для того-же порта?
Andrey
ну, если можно)
vsevolod
Создать пул и указать его следующим
Evgenii
подскажите, если не хватает айпов в пуле - как можно использовать следующий пул для того-же порта?
в ip pools, в настройке пула есть параметр - next pool, если мне память не изменяет
vsevolod
Да да)
Andrey
о)) а я его в насройках ДХЦП ищу)) спасибо большое
Павел
Доброго дня!
Подскажите пожалуйста самый годный способ изолировать бриджи друг от друга. Горизонт - немного не то, что хотелось бы, а фаервол кажется не совсем годным вариантом. Такое чувство, что есть способ получше. Спасибо!
Павел
Вопрос снят, все сделал
Evgenii
Доброго дня!
Подскажите пожалуйста самый годный способ изолировать бриджи друг от друга. Горизонт - немного не то, что хотелось бы, а фаервол кажется не совсем годным вариантом. Такое чувство, что есть способ получше. Спасибо!
Бриджи и так друг от друга изолировны на L2, для изоляции на L3 используйте фаервол
Павел
Спасибо, разобрался, сам тупил!
Maksim (InCorp)
Похоже Ipsec не работал из-за косяков в прошивке, на последней прошивке поднялся нормально
evgenii76
Похоже Ipsec не работал из-за косяков в прошивке, на последней прошивке поднялся нормально
Оппа. У меня тоже не поднимался ипсек на 39.1. но я думал, что криворукость. Спасибо, сегодня попробую. Криворукость никто не отменял
Алексей
Оппа. У меня тоже не поднимался ипсек на 39.1. но я думал, что криворукость. Спасибо, сегодня попробую. Криворукость никто не отменял
у меня на 39.1 поднимался, лабы делал недавно и sts и cts всё работало :)
evgenii76
Значит, руки посмотрю повнимательнее:)
Алексей
Значит, руки посмотрю повнимательнее:)
после лаб понял, что там смотреть почти не на что :) разве что реализация клиентской части мудреной может быть :)
Николай 🌵
работал ipsec нормально и на 35 прошивке
Николай 🌵
Толтко там нет ike2
Николай 🌵
А лучше всего поставте скриптом на проверку в то время как у вас самая найменьшая загруженость и пусть обновляется в stable ветке и будет вам счастье
Striker
Ребят, В CapsMan добавили ширину канала 40MHz turbo, кто испытывал на практике? Работает? и почему турбо?
Дмитрий Виктрович
Коллеги, подскажите встроенную файловую систему 128мб можно расширить на ccr1009? Хочу dude, а он упирается в потолок