6.37.4 и 3.35

Нет, сбросом без дефоулт.

В resources у бад блоков какой процент?

Бед блок 0%

А какой канал у вас? Насколько загружен при тормозах ?

Канал курит.

Там вроде как 40 МБит.

Но загрузка канала 3-4 Мбита

Интерфейс что в локалку смотрит там показывает 8Мбит.

Может петля в сети?

Я как-то умудрился помню микрот сам на себя вланами запетлить.....

Ну и классика жанра - петля по воздуху))))))))

Маловероятно. :-(

Грузит фиревал.

Может ддос? Син атаки.....

Открыт 53 udp наружу

Китайцы любят этот порт)))))))) цуки

А может кто-то приходит на работу.... Включает свой комп и сеть ложится.... Вирь гадящая в сеть... Ваершарком нужно посмотреть

Есть вири, которые под крышку браудкастами какают...... А т.к. Микротик чисто как роутер, то он этого и не увидит

Хотя хз....

Уточните модель. У Вас CCR или CRS? Такой нетворкинг подразумевает нормальную нагрузку на интерфейсы

У человека crs

112 8g 4s

Порты в бридже или в свитче? Какая таблица маршрутизации, какой фаервол?

У 112 проц 400, от него, как от роутера, много ждать не стОит

Если фаервол без фасттрэка

У 112 проц 400, от него, как от роутера, много ждать не стОит

В этом походу и беда у человека ибо они заменили 951 g на car

Crs*

Порты в свисте

Ещё у свитчей менеджмент под нагрузкой поджирает прилично

Я вот только хз что происходит с унифи при потере контроллера... Капсмановские точки тут же ложатся

Unifi без контроллера работает без проблем, главное первый раз настроить.

ROS (Robot Operating System) http://www.ros.org/

Аха)))) я тоже часто на хабре ошибочно захожу в статьи где пишут ROS

вопрос на засыпку, src-mac в логах правила файервола чей мак показывает?

по идее источник же

но не источник прям источник, а отправителя в твоем широковещательном домене

мало ли сколько хопов пакет преодолел

т.е. мак провайдера?

ну да, если линк провайдера мониторишь

мак своего "шлюза", если пакеты не от соседей

да, порт шлюза мониторю, забыл уточнить

тогда ещё один вопрос: как получить мак адрес именно отправителя?

а если там трафик сегментейшн и локал арп прокси, то вообще всё с одним маком будет

в общем эпопея с ап лр решилась ... после танцев с бубном поставил контроллер 5,0,7 ... забыл все точки ... зашел по ссх на каждую точку ... сделал сброс syswrapper.sh restore-default ... точки засветились в контроллере и до адопта сделал там же апгрейд, хотя по сути это даунгрейд ... потом когда все даунгрейдились, сделал адопт и все онлайн стали ... конечно чудеса с этими юбиками)

а если там трафик сегментейшн и локал арп прокси, то вообще всё с одним маком будет

хм, тогда какй есть вариант настройки правила так, чтобы оно распространялось на условный 1 компьютер

хм, тогда какй есть вариант настройки правила так, чтобы оно распространялось на условный 1 компьютер

ip, не? вы прям как будто что-то недоговариваете)

тогда ещё один вопрос: как получить мак адрес именно отправителя?

Если не в одном броадкастовом домене — то никак

ip, не? вы прям как будто что-то недоговариваете)

айпи не катит, ибо не у всех статический внешний адрес

айпи не катит, ибо не у всех статический внешний адрес

от обратного тогда. Запрещаем, потом разрешаем нужное. К нужному прикручиваем какойнить динднс, и пихаем имя в лист (на случай если там тож динамический)

ситуация: есть мобильное устройство, которое должно стучать по определённому проброшенному порту. важно, чтобы оно и только оно могло это делать

ну тогда вам port knocking может помочь, если паранойя заедает. Или смените дефолт порт на чтонить иное. Да вариантов масса, в чём проблема то ваша?

есть образец конфигурации с простукиванием портов?

делаете например парочку или тройку правил по цепочке. Стукнул туда то - попал в препребелый лист с таймаутом в минуту. Стукнул во второе при условии что находишься в первом - попал в пребелый лист на минуту. Стукнул в третье - ты в белом листе.

я знаю принцип этого правила, я спрашивал про рабочий образец конфиги)

честно лень

я не прошу скинуть свою конфигу, достаточно подсказать ресурс где можно поискать

айййй. ну ждите, щас настряпаю.

add action=add-src-to-address-list address-list=pre-pre-white address-list-timeout=1m chain=input dst-port=20000 protocol=tcp add action=add-src-to-address-list address-list=pre-white address-list-timeout=1m chain=input dst-port=20001 protocol=tcp src-address-list=pre-pre-white add action=add-src-to-address-list address-list=white address-list-timeout=1d chain=input dst-port=20002 protocol=tcp src-address-list=pre-white

ну естессно /ip fire filt

помещается до дропа. естественно добавьте ещё аксепт с white листа тоже до дропа (забыл про него). Естественно естеблишт релейтед разрешите до дропа...

Суть: стукнули в 2000tcp - у вас минута чтоб стукнуть в 20001. Стукнули в него - у вас минута чтоб стукнуть в 20002. Стукнули в него - вы в белом листе на сутки.

Думаю логика ясна. Дальше только полет фантазии...

Можно еще icmp кнок использовать, странно что @xerzerz молчит до сих пор. Принцип такой же, но долбимся на внешний адрес определенным размером и числом пакетов, и соотвестсвенно ловим пакеты этого размера и количество.

@Xerzovec, т.е.

Кто тут?)))))

про кнокинг базар

без тебя никак же

а по делу - конфиг я вам кидать не буду, сами как нить, а вот статью почитайте https://geektimes.ru/post/186488/

От нигадяй... Мог бы и на мою статью ссыль кинуть)))) там же на хабре

какая в гугле первее ту и кинул

Уважаемые спецы, кто-нить может человеческим языком пояснить что такое dhcp relay? премного благодарен заранее)))

перекинуть дхцп запросы через роутер, узазываешь откуда брать и куда отдавать ... если простым языком)

единственно где я использовал - это при настройке микрота в качестве репитора

Уважаемые спецы, кто-нить может человеческим языком пояснить что такое dhcp relay? премного благодарен заранее)))

http://forum.ixbt.com/topic.cgi?id=14:47590

достаточно простым языком

Самое забавное, это как он в МТ настраивается. Из-под выподверта

Самое забавное, это как он в МТ настраивается. Из-под выподверта

те не просто ip helper-address как циске?) просто и одной строчкой)

я все ту тему мусолю, с капсманом сначала на стенде поиграю, а пока гланды через...