Valentin.net 1 Опубліковано: 2018-04-11 18:50:13 Share Опубліковано: 2018-04-11 18:50:13 Есть, конечно, подозрение на корявость киевстар. Уж слишком много адресов вываливается на внешнем интерфейсе Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 18:50:20 Share Опубліковано: 2018-04-11 18:50:20 Только что, Kiano сказал: Уверен, режте запросы из вне на локальный днс и всё Смысл? Если можно просто отключить ответ на запросы извне локалки через данную функцию? Загрузки от этого будет меньше чем резать через фаер. Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-11 18:51:32 Share Опубліковано: 2018-04-11 18:51:32 Только что, xakep7 сказал: Смысл? Если можно просто отключить ответ на запросы извне локалки через данную функцию? Загрузки от этого будет меньше чем резать через фаер. А абонам давать внешний днс? Не есть гуд, каждый запрос на днс - новая запись в нате Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 18:53:27 Share Опубліковано: 2018-04-11 18:53:27 1 минуту назад, Kiano сказал: А абонам давать внешний днс? Не есть гуд, каждый запрос на днс - новая запись в нате Эта фитча влияет только на ответы через внешний интерфейс. На локалку она не влияет, на сколько я помню. Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-11 18:54:15 Share Опубліковано: 2018-04-11 18:54:15 2 минуты назад, Valentin.net сказал: Есть, конечно, подозрение на корявость киевстар. Уж слишком много адресов вываливается на внешнем интерфейсе А это натупили с трансляцией арпа, но не при чем в вашем случае. Забейте в арп запись для вашего шлюза, а на wan интерфейсе для арпа сделайте reply only Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубліковано: 2018-04-11 18:54:56 Share Опубліковано: 2018-04-11 18:54:56 Так, дропнул 53 Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-11 18:55:03 Share Опубліковано: 2018-04-11 18:55:03 1 минуту назад, xakep7 сказал: Эта фитча влияет только на ответы через внешний интерфейс. На локалку она не влияет, на сколько я помню. Влияет, для него всё есть remote, только если железка сама юзает днс, то локальные Только что, Valentin.net сказал: Так, дропнул 53 Скрин в студию Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 18:59:22 Share Опубліковано: 2018-04-11 18:59:22 2 минуты назад, Kiano сказал: Влияет, для него всё есть remote, только если железка сама юзает днс, то локальные Да, так и есть. Раньше работало так, сейчас уже поменяли видимо. Тогда верно, только лочить внешние запросы через фаер на порт. Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубліковано: 2018-04-11 19:00:05 Share Опубліковано: 2018-04-11 19:00:05 вроде того? или протокол udp? Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 19:01:35 Share Опубліковано: 2018-04-11 19:01:35 (відредаговано) 3 минуты назад, Valentin.net сказал: вроде того? или протокол udp? В основном udp, ну а вообще оба. https://www.securitylab.ru/blog/personal/aodugin/296669.php Відредаговано 2018-04-11 19:03:46 xakep7 Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубліковано: 2018-04-11 19:03:41 Share Опубліковано: 2018-04-11 19:03:41 Эмм. Туплю. Еще одно правило сделать для второго протокола? Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 19:05:10 Share Опубліковано: 2018-04-11 19:05:10 1 минуту назад, Valentin.net сказал: Эмм. Туплю. Еще одно правило сделать для второго протокола? По идее да. Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубліковано: 2018-04-11 19:05:21 Share Опубліковано: 2018-04-11 19:05:21 Спасибо за ссылку. Прочитаю Да, по tcp правило ничего не ловит, а по udp пошло резать трафик Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-11 19:08:01 Share Опубліковано: 2018-04-11 19:08:01 7 минут назад, Valentin.net сказал: вроде того? или протокол udp? Только удп И форвард тоже сделайте 8 минут назад, xakep7 сказал: Да, так и есть. Раньше работало так, сейчас уже поменяли видимо. Тогда верно, только лочить внешние запросы через фаер на порт. На микротике с версии 3.х Никогда так не было)) он не знает где внешний, а где внутренний Ссылка на сообщение Поделиться на других сайтах
Valentin.net 1 Опубліковано: 2018-04-11 19:11:36 Share Опубліковано: 2018-04-11 19:11:36 форвард на какой интерфейс? Ссылка на сообщение Поделиться на других сайтах
xakep7 6 Опубліковано: 2018-04-11 19:12:02 Share Опубліковано: 2018-04-11 19:12:02 3 минуты назад, Kiano сказал: На микротике с версии 3.х Никогда так не было)) он не знает где внешний, а где внутренний На 6-ой ветке работало. Но видимо из-за DHCP/PPPoE Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-11 19:12:42 Share Опубліковано: 2018-04-11 19:12:42 Только что, Valentin.net сказал: форвард на какой интерфейс? Тоже самое, только чейн форвард Ссылка на сообщение Поделиться на других сайтах
mixtery 121 Опубліковано: 2018-04-11 19:50:36 Share Опубліковано: 2018-04-11 19:50:36 55 минут назад, Kiano сказал: А это натупили с трансляцией арпа, но не при чем в вашем случае. Забейте в арп запись для вашего шлюза, а на wan интерфейсе для арпа сделайте reply only Это не затупили, а proxy-arp у провайдера на микроте роутить дефолт надо не в интерфейс а в айпишник шлюза Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-12 04:14:14 Share Опубліковано: 2018-04-12 04:14:14 8 часов назад, mixtery сказал: Это не затупили, а proxy-arp у провайдера на микроте роутить дефолт надо не в интерфейс а в айпишник шлюза ээм... я до этого и не додумался бы. Если в интерфейс, то оно работать в итоге хотя бы будет? Ссылка на сообщение Поделиться на других сайтах
mixtery 121 Опубліковано: 2018-04-12 05:38:15 Share Опубліковано: 2018-04-12 05:38:15 1 час назад, Kiano сказал: ээм... я до этого и не додумался бы. Если в интерфейс, то оно работать в итоге хотя бы будет? Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-12 05:39:30 Share Опубліковано: 2018-04-12 05:39:30 Только что, mixtery сказал: Да я понял. Просто первый случай совсем не логичный Ссылка на сообщение Поделиться на других сайтах
mixtery 121 Опубліковано: 2018-04-12 05:40:31 Share Опубліковано: 2018-04-12 05:40:31 (відредаговано) 2 минуты назад, Kiano сказал: Да я понял. Просто первый случай совсем не логичный Логичный, не логичный, а когда к вам на микрот прилетает dhcp, куда дефолт роутится? в айпишник или интерфейс? А там именно киевстаровский броадкаст на внешники, недоглядел. Собственно, киевстар, внешники. ЧЯДНТ? Відредаговано 2018-04-12 05:42:20 mixtery UPD Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-12 06:08:03 Share Опубліковано: 2018-04-12 06:08:03 26 минут назад, mixtery сказал: Логичный, не логичный, а когда к вам на микрот прилетает dhcp, куда дефолт роутится? в айпишник или интерфейс? А там именно киевстаровский броадкаст на внешники, недоглядел. Собственно, киевстар, внешники. ЧЯДНТ? не понимаю, как это у вас получилось Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 601 Опубліковано: 2018-04-12 07:00:25 Share Опубліковано: 2018-04-12 07:00:25 (відредаговано) - Відредаговано 2018-04-12 07:00:53 Dimkers Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2018-04-12 07:40:14 Share Опубліковано: 2018-04-12 07:40:14 39 минут назад, Dimkers сказал: - а я успел увидеть) я не пойму, в каких сценариях роутит в интерфейс? никогда с таким не сталкивался Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас