ST
потому что там л2 нет?
Вполне возможно, ipsec же на L3 работает, в wiki написано, что mndp работает и с cdp и lldp, и если туннель типа l2tp over ipsec, то вполне там discovery работать будет
Size: a a a
2020 December 17
m
Ну я так же поступил, всякий взброд и купил, и не работает
если это у вас первый раз, то высока вероятность неправильного подбора модулей, потому и нужно чтоб вы модели написали
11
Под рукой нет, к сожалению
ST
не работают как надо - видеть все что торчит за портом - это херовая работа
А что vlan filtering уже не работает разве? На cisco тоже он работает на интерфейсах, на которых указываешь где он должен слушать и себя транслировать. Я список составил, что мне нужно и ccr1009 все как по списку мне показывает. Ничего лишнего и "личного" от себя нет.
N
продолжу вопрос про кастомные цепочки для forward
N
нормально ли фэсттрэк и established related поднять выше, потом по джампать на цепочки и потом дропнуть всё?
ST
нормально ли фэсттрэк и established related поднять выше, потом по джампать на цепочки и потом дропнуть всё?
А почему нет? Только смотри внимательно, что ты в своих "прыжках" описал все возможные варианты работы своих сетей за firewall
N
я про нормально закрытый файрволл:)
N
ну у меня LAN, WAN и VPN
N
то есть 6 кастомных цепочек
VB
3 раза дроп это чтоб наверняка? =) просто drop без параметров в конце а перед ним уже разрешать
N
да я писал вчера что это тестово , в первых дропах я уже точно знаю что там не нужное
N
а что то новое я логирую
N
пока избыточно)
N
я про логику прохождения пакета, то есть нормально что фэсттрэк и контрольный для него established related выше джампов. Потому что в джампах будет типа connection state new для tcp и разные открытые udp
VB
я про логику прохождения пакета, то есть нормально что фэсттрэк и контрольный для него established related выше джампов. Потому что в джампах будет типа connection state new для tcp и разные открытые udp
с точки зрения нагрузки так и должно быть. с точки зрения достижения требуемого результата, то будет работать и ниже
N
ну я читал что самые жирные правила по трафику лучше повыше, чтобы прохождение было минимальным
ST
ну я читал что самые жирные правила по трафику лучше повыше, чтобы прохождение было минимальным
V B вам очень точно ответил, тот вариант, что у вас - самый щядящий для процессора, когда он по минимуму занят разбором траффика, а не гонит все линейно по цепочке до первого drop
VB
я про логику прохождения пакета, то есть нормально что фэсттрэк и контрольный для него established related выше джампов. Потому что в джампах будет типа connection state new для tcp и разные открытые udp
все что ниже established related будет либо new либо invalid, таким образом если еще invalid отфильтровать, тов следующих правилах нет надобности проверять на NEW, т.к. только такие туда и попадут
k
V B вам очень точно ответил, тот вариант, что у вас - самый щядящий для процессора, когда он по минимуму занят разбором траффика, а не гонит все линейно по цепочке до первого drop
самый щадящий для процессора - отключить контрак, т.к. это довольно ресурсоемкая процедура, которой касается каждый пакет