Valentin.net 1 Опубликовано: 2018-04-11 18:50:13 Share Опубликовано: 2018-04-11 18:50:13 Есть, конечно, подозрение на корявость киевстар. Уж слишком много адресов вываливается на внешнем интерфейсе Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубликовано: 2018-04-11 18:50:20 Share Опубликовано: 2018-04-11 18:50:20 Только что, Kiano сказал: Уверен, режте запросы из вне на локальный днс и всё Смысл? Если можно просто отключить ответ на запросы извне локалки через данную функцию? Загрузки от этого будет меньше чем резать через фаер. Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубликовано: 2018-04-11 18:51:32 Share Опубликовано: 2018-04-11 18:51:32 Только что, xakep7 сказал: Смысл? Если можно просто отключить ответ на запросы извне локалки через данную функцию? Загрузки от этого будет меньше чем резать через фаер. А абонам давать внешний днс? Не есть гуд, каждый запрос на днс - новая запись в нате Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубликовано: 2018-04-11 18:53:27 Share Опубликовано: 2018-04-11 18:53:27 1 минуту назад, Kiano сказал: А абонам давать внешний днс? Не есть гуд, каждый запрос на днс - новая запись в нате Эта фитча влияет только на ответы через внешний интерфейс. На локалку она не влияет, на сколько я помню. Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубликовано: 2018-04-11 18:54:15 Share Опубликовано: 2018-04-11 18:54:15 2 минуты назад, Valentin.net сказал: Есть, конечно, подозрение на корявость киевстар. Уж слишком много адресов вываливается на внешнем интерфейсе А это натупили с трансляцией арпа, но не при чем в вашем случае. Забейте в арп запись для вашего шлюза, а на wan интерфейсе для арпа сделайте reply only Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубликовано: 2018-04-11 18:54:56 Share Опубликовано: 2018-04-11 18:54:56 Так, дропнул 53 Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубликовано: 2018-04-11 18:55:03 Share Опубликовано: 2018-04-11 18:55:03 1 минуту назад, xakep7 сказал: Эта фитча влияет только на ответы через внешний интерфейс. На локалку она не влияет, на сколько я помню. Влияет, для него всё есть remote, только если железка сама юзает днс, то локальные Только что, Valentin.net сказал: Так, дропнул 53 Скрин в студию Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубликовано: 2018-04-11 18:59:22 Share Опубликовано: 2018-04-11 18:59:22 2 минуты назад, Kiano сказал: Влияет, для него всё есть remote, только если железка сама юзает днс, то локальные Да, так и есть. Раньше работало так, сейчас уже поменяли видимо. Тогда верно, только лочить внешние запросы через фаер на порт. Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубликовано: 2018-04-11 19:00:05 Share Опубликовано: 2018-04-11 19:00:05 вроде того? или протокол udp? Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубликовано: 2018-04-11 19:01:35 Share Опубликовано: 2018-04-11 19:01:35 (изменено) 3 минуты назад, Valentin.net сказал: вроде того? или протокол udp? В основном udp, ну а вообще оба. https://www.securitylab.ru/blog/personal/aodugin/296669.php Изменено 2018-04-11 19:03:46 пользователем xakep7 Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубликовано: 2018-04-11 19:03:41 Share Опубликовано: 2018-04-11 19:03:41 Эмм. Туплю. Еще одно правило сделать для второго протокола? Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубликовано: 2018-04-11 19:05:10 Share Опубликовано: 2018-04-11 19:05:10 1 минуту назад, Valentin.net сказал: Эмм. Туплю. Еще одно правило сделать для второго протокола? По идее да. Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубликовано: 2018-04-11 19:05:21 Share Опубликовано: 2018-04-11 19:05:21 Спасибо за ссылку. Прочитаю Да, по tcp правило ничего не ловит, а по udp пошло резать трафик Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубликовано: 2018-04-11 19:08:01 Share Опубликовано: 2018-04-11 19:08:01 7 минут назад, Valentin.net сказал: вроде того? или протокол udp? Только удп И форвард тоже сделайте 8 минут назад, xakep7 сказал: Да, так и есть. Раньше работало так, сейчас уже поменяли видимо. Тогда верно, только лочить внешние запросы через фаер на порт. На микротике с версии 3.х Никогда так не было)) он не знает где внешний, а где внутренний Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубликовано: 2018-04-11 19:11:36 Share Опубликовано: 2018-04-11 19:11:36 форвард на какой интерфейс? Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубликовано: 2018-04-11 19:12:02 Share Опубликовано: 2018-04-11 19:12:02 3 минуты назад, Kiano сказал: На микротике с версии 3.х Никогда так не было)) он не знает где внешний, а где внутренний На 6-ой ветке работало. Но видимо из-за DHCP/PPPoE Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубликовано: 2018-04-11 19:12:42 Share Опубликовано: 2018-04-11 19:12:42 Только что, Valentin.net сказал: форвард на какой интерфейс? Тоже самое, только чейн форвард Ссылка на сообщение Поделиться на других сайтах
mixtery 123 Опубликовано: 2018-04-11 19:50:36 Share Опубликовано: 2018-04-11 19:50:36 55 минут назад, Kiano сказал: А это натупили с трансляцией арпа, но не при чем в вашем случае. Забейте в арп запись для вашего шлюза, а на wan интерфейсе для арпа сделайте reply only Это не затупили, а proxy-arp у провайдера на микроте роутить дефолт надо не в интерфейс а в айпишник шлюза Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубликовано: 2018-04-12 04:14:14 Share Опубликовано: 2018-04-12 04:14:14 8 часов назад, mixtery сказал: Это не затупили, а proxy-arp у провайдера на микроте роутить дефолт надо не в интерфейс а в айпишник шлюза ээм... я до этого и не додумался бы. Если в интерфейс, то оно работать в итоге хотя бы будет? Ссылка на сообщение Поделиться на других сайтах
mixtery 123 Опубликовано: 2018-04-12 05:38:15 Share Опубликовано: 2018-04-12 05:38:15 1 час назад, Kiano сказал: ээм... я до этого и не додумался бы. Если в интерфейс, то оно работать в итоге хотя бы будет? Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубликовано: 2018-04-12 05:39:30 Share Опубликовано: 2018-04-12 05:39:30 Только что, mixtery сказал: Да я понял. Просто первый случай совсем не логичный Ссылка на сообщение Поделиться на других сайтах
mixtery 123 Опубликовано: 2018-04-12 05:40:31 Share Опубликовано: 2018-04-12 05:40:31 (изменено) 2 минуты назад, Kiano сказал: Да я понял. Просто первый случай совсем не логичный Логичный, не логичный, а когда к вам на микрот прилетает dhcp, куда дефолт роутится? в айпишник или интерфейс? А там именно киевстаровский броадкаст на внешники, недоглядел. Собственно, киевстар, внешники. ЧЯДНТ? Изменено 2018-04-12 05:42:20 пользователем mixtery UPD Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубликовано: 2018-04-12 06:08:03 Share Опубликовано: 2018-04-12 06:08:03 26 минут назад, mixtery сказал: Логичный, не логичный, а когда к вам на микрот прилетает dhcp, куда дефолт роутится? в айпишник или интерфейс? А там именно киевстаровский броадкаст на внешники, недоглядел. Собственно, киевстар, внешники. ЧЯДНТ? не понимаю, как это у вас получилось Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 620 Опубликовано: 2018-04-12 07:00:25 Share Опубликовано: 2018-04-12 07:00:25 (изменено) - Изменено 2018-04-12 07:00:53 пользователем Dimkers Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубликовано: 2018-04-12 07:40:14 Share Опубликовано: 2018-04-12 07:40:14 39 минут назад, Dimkers сказал: - а я успел увидеть) я не пойму, в каких сценариях роутит в интерфейс? никогда с таким не сталкивался Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас