Valentin.net 1 Опубліковано: 2018-04-11 18:50:13 Share Опубліковано: 2018-04-11 18:50:13 Есть, конечно, подозрение на корявость киевстар. Уж слишком много адресов вываливается на внешнем интерфейсе Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 18:50:20 Share Опубліковано: 2018-04-11 18:50:20 В 11.04.2018 в 18:48, Kiano сказав: Уверен, режте запросы из вне на локальный днс и всё Expand Смысл? Если можно просто отключить ответ на запросы извне локалки через данную функцию? Загрузки от этого будет меньше чем резать через фаер. Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-11 18:51:32 Share Опубліковано: 2018-04-11 18:51:32 В 11.04.2018 в 18:50, xakep7 сказав: Смысл? Если можно просто отключить ответ на запросы извне локалки через данную функцию? Загрузки от этого будет меньше чем резать через фаер. Expand А абонам давать внешний днс? Не есть гуд, каждый запрос на днс - новая запись в нате Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 18:53:27 Share Опубліковано: 2018-04-11 18:53:27 В 11.04.2018 в 18:51, Kiano сказав: А абонам давать внешний днс? Не есть гуд, каждый запрос на днс - новая запись в нате Expand Эта фитча влияет только на ответы через внешний интерфейс. На локалку она не влияет, на сколько я помню. Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-11 18:54:15 Share Опубліковано: 2018-04-11 18:54:15 В 11.04.2018 в 18:50, Valentin.net сказав: Есть, конечно, подозрение на корявость киевстар. Уж слишком много адресов вываливается на внешнем интерфейсе Expand А это натупили с трансляцией арпа, но не при чем в вашем случае. Забейте в арп запись для вашего шлюза, а на wan интерфейсе для арпа сделайте reply only Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубліковано: 2018-04-11 18:54:56 Share Опубліковано: 2018-04-11 18:54:56 Так, дропнул 53 Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-11 18:55:03 Share Опубліковано: 2018-04-11 18:55:03 В 11.04.2018 в 18:53, xakep7 сказав: Эта фитча влияет только на ответы через внешний интерфейс. На локалку она не влияет, на сколько я помню. Expand Влияет, для него всё есть remote, только если железка сама юзает днс, то локальные В 11.04.2018 в 18:54, Valentin.net сказав: Так, дропнул 53 Expand Скрин в студию Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 18:59:22 Share Опубліковано: 2018-04-11 18:59:22 В 11.04.2018 в 18:55, Kiano сказав: Влияет, для него всё есть remote, только если железка сама юзает днс, то локальные Expand Да, так и есть. Раньше работало так, сейчас уже поменяли видимо. Тогда верно, только лочить внешние запросы через фаер на порт. Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубліковано: 2018-04-11 19:00:05 Share Опубліковано: 2018-04-11 19:00:05 вроде того? или протокол udp? Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 19:01:35 Share Опубліковано: 2018-04-11 19:01:35 (відредаговано) В 11.04.2018 в 19:00, Valentin.net сказав: вроде того? или протокол udp? Expand В основном udp, ну а вообще оба. https://www.securitylab.ru/blog/personal/aodugin/296669.php Відредаговано 2018-04-11 19:03:46 xakep7 Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубліковано: 2018-04-11 19:03:41 Share Опубліковано: 2018-04-11 19:03:41 Эмм. Туплю. Еще одно правило сделать для второго протокола? Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 19:05:10 Share Опубліковано: 2018-04-11 19:05:10 В 11.04.2018 в 19:03, Valentin.net сказав: Эмм. Туплю. Еще одно правило сделать для второго протокола? Expand По идее да. Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубліковано: 2018-04-11 19:05:21 Share Опубліковано: 2018-04-11 19:05:21 Спасибо за ссылку. Прочитаю Да, по tcp правило ничего не ловит, а по udp пошло резать трафик Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-11 19:08:01 Share Опубліковано: 2018-04-11 19:08:01 В 11.04.2018 в 19:00, Valentin.net сказав: вроде того? или протокол udp? Expand Только удп И форвард тоже сделайте В 11.04.2018 в 18:59, xakep7 сказав: Да, так и есть. Раньше работало так, сейчас уже поменяли видимо. Тогда верно, только лочить внешние запросы через фаер на порт. Expand На микротике с версии 3.х Никогда так не было)) он не знает где внешний, а где внутренний Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубліковано: 2018-04-11 19:11:36 Share Опубліковано: 2018-04-11 19:11:36 форвард на какой интерфейс? Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 19:12:02 Share Опубліковано: 2018-04-11 19:12:02 В 11.04.2018 в 19:08, Kiano сказав: На микротике с версии 3.х Никогда так не было)) он не знает где внешний, а где внутренний Expand На 6-ой ветке работало. Но видимо из-за DHCP/PPPoE Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-11 19:12:42 Share Опубліковано: 2018-04-11 19:12:42 В 11.04.2018 в 19:11, Valentin.net сказав: форвард на какой интерфейс? Expand Тоже самое, только чейн форвард Ссылка на сообщение Поделиться на других сайтах
mixtery 123 Опубліковано: 2018-04-11 19:50:36 Share Опубліковано: 2018-04-11 19:50:36 В 11.04.2018 в 18:54, Kiano сказав: А это натупили с трансляцией арпа, но не при чем в вашем случае. Забейте в арп запись для вашего шлюза, а на wan интерфейсе для арпа сделайте reply only Expand Это не затупили, а proxy-arp у провайдера на микроте роутить дефолт надо не в интерфейс а в айпишник шлюза Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-12 04:14:14 Share Опубліковано: 2018-04-12 04:14:14 В 11.04.2018 в 19:50, mixtery сказав: Это не затупили, а proxy-arp у провайдера на микроте роутить дефолт надо не в интерфейс а в айпишник шлюза Expand ээм... я до этого и не додумался бы. Если в интерфейс, то оно работать в итоге хотя бы будет? Ссылка на сообщение Поделиться на других сайтах
mixtery 123 Опубліковано: 2018-04-12 05:38:15 Share Опубліковано: 2018-04-12 05:38:15 В 12.04.2018 в 04:14, Kiano сказав: ээм... я до этого и не додумался бы. Если в интерфейс, то оно работать в итоге хотя бы будет? Expand Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-12 05:39:30 Share Опубліковано: 2018-04-12 05:39:30 В 12.04.2018 в 05:38, mixtery сказав: Expand Да я понял. Просто первый случай совсем не логичный Ссылка на сообщение Поделиться на других сайтах
mixtery 123 Опубліковано: 2018-04-12 05:40:31 Share Опубліковано: 2018-04-12 05:40:31 (відредаговано) В 12.04.2018 в 05:39, Kiano сказав: Да я понял. Просто первый случай совсем не логичный Expand Логичный, не логичный, а когда к вам на микрот прилетает dhcp, куда дефолт роутится? в айпишник или интерфейс? А там именно киевстаровский броадкаст на внешники, недоглядел. Собственно, киевстар, внешники. ЧЯДНТ? Відредаговано 2018-04-12 05:42:20 mixtery UPD Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-12 06:08:03 Share Опубліковано: 2018-04-12 06:08:03 В 12.04.2018 в 05:40, mixtery сказав: Логичный, не логичный, а когда к вам на микрот прилетает dhcp, куда дефолт роутится? в айпишник или интерфейс? А там именно киевстаровский броадкаст на внешники, недоглядел. Собственно, киевстар, внешники. ЧЯДНТ? Expand не понимаю, как это у вас получилось Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 606 Опубліковано: 2018-04-12 07:00:25 Share Опубліковано: 2018-04-12 07:00:25 (відредаговано) - Відредаговано 2018-04-12 07:00:53 Dimkers Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-12 07:40:14 Share Опубліковано: 2018-04-12 07:40:14 В 12.04.2018 в 07:00, Dimkers сказав: - Expand а я успел увидеть) я не пойму, в каких сценариях роутит в интерфейс? никогда с таким не сталкивался Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас