Size: a a a

2021 April 08

Н

Никита in MikrotikRus
Я вот отсек через Firewall Raw, камеры постоянно ломятся в интернет, что лучше сделать, натиь в одну сторону или файроволом ?
источник

VB

Vladislav Barabash in MikrotikRus
с большим трафиком цпу загнется с такого, если трафика не так много то ок
источник

Н

Никита in MikrotikRus
ок, понял, цпу нужен, буду пробовать, спасибо
источник

VB

Vladislav Barabash in MikrotikRus
чтоб в инет не ломились можно исключить пул камер из маскарада
источник

VB

Vladislav Barabash in MikrotikRus
в правиле которое srcnat делает исключить сеть/адрес лист с теми, кто не должен ходить во внешку
источник

Н

Никита in MikrotikRus
да, спасибо, тоже так сделаю, мне нужно что бы они с друг другом не могли общаться и в другие подсети не имели доступ
источник

Н

Никита in MikrotikRus
и все равно есть доступ в интернет, это в стандартном правиле маскарада, что я не так делаю?
источник

VB

Vladislav Barabash in MikrotikRus
только src
источник

Н

Никита in MikrotikRus
все равно пингует интернет
источник

D

Danil in MikrotikRus
Коннекшны почистить после включения правила - может висит как эстэблишед
источник

Н

Никита in MikrotikRus
ок, спасибо
источник

Н

Никита in MikrotikRus
проблема в том, что если ставлю правило drop src 10 > dst 192 на drop, то 10 не видит 192, но и 192 не видит 10
источник

VB

Vladislav Barabash in MikrotikRus
потому что трафик в обе стороны должен ходить даже для icmp
источник

Н

Никита in MikrotikRus
значит без вариантов, firewall =(
источник

VB

Vladislav Barabash in MikrotikRus
скорее nat между сетями
источник

P

Pavel B in MikrotikRus
Ребзя, в микротах можно в фаерволле прописывать правило запрещающее «форвардинг» в тех случаях, когда условный провайдер может прописать маршрут до твоей домашней сети через роутер и получать доступ. Кинетикос по дефолту это блочит или разрешает? Всякий форвард вроде как не настраивается в фаере

Лень просто городить «макет» и проверять на практике как обстоят дела
источник

P

Pavel B in MikrotikRus
я про
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
   connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
источник

D

Danil in MikrotikRus
В дефолтном конфиге это правило для того и включено
источник

P

Pavel B in MikrotikRus
да, я понимаю, я спрашиваю есть ли люди с опытом работы с кинетикОС
источник

D

Danil in MikrotikRus
Он нормально закрытый для внешнего трафика
источник