Moneron 🇷🇺
Но хочется теперь тоже без ниих
Moneron 🇷🇺
И посмотреть, какой вариант более костыльный ))
Cumberbatch
Кол-во портов ограничено или нет?
Moneron 🇷🇺
В смысле?
Moneron 🇷🇺
К прову две тычки
Moneron 🇷🇺
Одним роутером
Moneron 🇷🇺
разными портами
Moneron 🇷🇺
Пров редиска, шлюзы разные выдаёт время от времени
Moneron 🇷🇺
Задача чекать не шлюзы, а инет за ними, ибо разные учётки на кабелях, какая-то может быть неоплачена
Алексей
Так провайдеров то в итоге два?
Moneron 🇷🇺
По факту один
Moneron 🇷🇺
Адресация одна, шлюзы разные
Алексей
Просто два логина?
Moneron 🇷🇺
Да нет логинов
Moneron 🇷🇺
По маку, видимо, аутентификация
Moneron 🇷🇺
просто дхцп
Cumberbatch
Если нет то можно подумать в сторону bgp
Т.е порты к провайдеру в vrf. Затем на третьем порту вешаем bgp с провайдерскими. В локальном 4ом порту строим proxy-arp. 5 соединяем с 4 и настраиваем роут реверс. С проверкой.
Алексей
И тут я подумал почему не существует дхцп-клиент-биндинга какого-нибудь :)
Moneron 🇷🇺
Если нет то можно подумать в сторону bgp
Т.е порты к провайдеру в vrf. Затем на третьем порту вешаем bgp с провайдерскими. В локальном 4ом порту строим proxy-arp. 5 соединяем с 4 и настраиваем роут реверс. С проверкой.
Пров нам бгп не предоставляет. Про 3 порт не очень понял
Cumberbatch
Bgp между портами микрочип
Cumberbatch
Микрота
Cumberbatch
Сейчас сформулирую точнее
Moneron 🇷🇺
Хорошо, а как после этого PCC настраивать?
Moneron 🇷🇺
РСС будет только между таблицами работать. В одной от него толку мало
Moneron 🇷🇺
МТ сам на себя бгп поднимать, думаю, не станет
Moneron 🇷🇺
Короче, думаем :)
Cumberbatch
Итак.
1 порт ISP1 vrf
2 порт ISP2 vrf
3 порт bgp с портом 1 и ip 1.1.1.1/30
4 порт bgp с портом 2 и ip 2.2.2.1
5 порт физически соединён с 3 и ip 1.1.1.2/30
5 порт route 8.8.8.8 gw 1.1.1.1 и def recursive 8.8.8.8
6 порт физически соединён с 4 и ip 2.2.2.2/30
6 порт route 8.8.8.8 gw 2.2.2.2 и def recursive 8.8.8.8
5 и 6 порты так же в разных vrf
7 порт локалка и pcc на таблицы 5 и 6 портов.
Cumberbatch
Recursive чакется и все гуд.
Cumberbatch
3,4 порты также в отдельных vrf
cgooq
Голова закружилась и я уснул ...
cgooq
Делал на один rb 2 линка с dhcp прова, но побеждал балансировкой за счет dst%ifname + там не просто dhcp, а pptp до bras с пулом >= 2 ip. Текущая задачка сквозь миллилитры лимончеллы не прошла, гг бб
Алексей
балин а вкладка роу появилась в какой версии? в еве прост 6.34.6 вкладки роу нет в фаерволе... хотел пощупать его...
Алексей
будет что или нет я не знаю, обновил этот CHR на свой страх и риск, пока полет нормальный
Moneron 🇷🇺
Сегодня в процессе тренинга выяснили один баг в 6.40. Когда вручную добавляешь запись в адрес-лист с таймаутом, по истечении времени она не удаляется, висит динамическая с 00:00:00. Те записи, которые добавляются с помощью add-src/dst-to-address-list, удаляются нормально. И более того, появилась классная возможность добавлять адреса навсегда. При срабатывании правила появляется статическая запись адрес-листа.
Алексей
Сегодня в процессе тренинга выяснили один баг в 6.40. Когда вручную добавляешь запись в адрес-лист с таймаутом, по истечении времени она не удаляется, висит динамическая с 00:00:00. Те записи, которые добавляются с помощью add-src/dst-to-address-list, удаляются нормально. И более того, появилась классная возможность добавлять адреса навсегда. При срабатывании правила появляется статическая запись адрес-листа.
вчерашнюю задачу решили в итоге без скриптов?
Moneron 🇷🇺
Нет, пока не вышло.
Moneron 🇷🇺
Да
Moneron 🇷🇺
И решение он не даёт. А мне не спать вторую ночь 😁
Moneron 🇷🇺
Не, я с ним переписывался. Говорит, красиво получилось. Но даже не намекнул, как. Троллит )
Алексей
Moneron 🇷🇺
Moneron 🇷🇺
Я на 6.40 обновляться пока не буду. Жду .1
Алексей
я вчера кстати обновился...
Алексей
вроде живой пока
Moneron 🇷🇺
Я в еве и не в еве схватил несколько багов. Пока пусть отладят всё. Там оспф глюкнул, имена интерфейсов слетели, с адрес-листами тоже глюки. На разных платформах проверил. Так что пусть чинят.
Алексей
балин надо было до 6.39...
Алексей
chr отдаунгрейдить интересно можно?
Moneron 🇷🇺
Да. Я сегодня в лабе на еве даунгрейдил
Moneron 🇷🇺
Без проблем
Moneron 🇷🇺
Неа, даунлоад, а затем кнопка даунгрейд в систем-пакаджес
Moneron 🇷🇺
Я на багфикс откатывался, на 6.38.7
Moneron 🇷🇺
Прямо из системы. Не с сайта
Алексей
а да? ща затестю не пробовал так ни разу ещё
Алексей
спс
Moneron 🇷🇺
System-packages-check for updates
Алексей
даунгрейд?
Алексей
а все понял...
Алексей
https://vulners.com/packetstorm/PACKETSTORM:142988
Алексей
Что это за анфиксибыл вулнера от версии к версии висит?
SancheZ
ребят не могу запретить/разрешить доступ к сайту. Подскажите как правильноэто сделать, на уровне домена
SancheZ
SancheZ
blyumazeiko
На локал хост заверни трафик идущий на тот сайт и все
blyumazeiko
Во вкладке advanced домен пиши в поле content
SancheZ
Во вкладке advanced домен пиши в поле content
не работает =( трафик идет дальше, и сайт открывается
SancheZ
SancheZ
Пакеты в правиле бегут, но не работает эта цепочка. Ниче не могу понять
blyumazeiko
Попробуй через L7
blyumazeiko
Кстати вроде косяк в твоем правиле
blyumazeiko
Ты запиещаешь компу 1.200 идти на 80ый порт сайта pma.ru который удачно имеет ssl сертификат и удачно работает по 443му порту
blyumazeiko
Удали вообще порт, пускай полностью блокирует доступ
Moneron 🇷🇺
Правильно блокать по л7 днсы
Moneron 🇷🇺
Презенташка most underused and overused tools