МФ
Cumberbatch
И в последних прошивках норм дефолт.
Он все равно не соответствует текущим реалиям, даже с ним микротик превращается в какой то полудырявый д-линк дир-300.
Эх, пора запилить уже статью похоже
Эх, пора запилить уже статью похоже
Size: a a a
2020 April 04
B
Нет, нат и маскарадинг это как пшеница и бензин.
Маскарадинг - частный случай NAT'а.
Применительно к iptables - в случае NAT указываем адрес явно (это предполагает, что мы его знаем на этапе создания правила, а для динамического адреса это не всегда так), а в случае маскарадинга - адрес автоматически берётся с интерфейса.
Кроме того, маскарадинг при падении линка дропает соединения, ибо после нового подключения, вероятно, будет другой адрес, а NAT - нет.
А что из них использовать в каждом конкретном случае - решаем исходя из наших нужд.
Применительно к iptables - в случае NAT указываем адрес явно (это предполагает, что мы его знаем на этапе создания правила, а для динамического адреса это не всегда так), а в случае маскарадинга - адрес автоматически берётся с интерфейса.
Кроме того, маскарадинг при падении линка дропает соединения, ибо после нового подключения, вероятно, будет другой адрес, а NAT - нет.
А что из них использовать в каждом конкретном случае - решаем исходя из наших нужд.
C
Он все равно не соответствует текущим реалиям, даже с ним микротик превращается в какой то полудырявый д-линк дир-300.
Эх, пора запилить уже статью похоже
Эх, пора запилить уже статью похоже
Ну ка ну ка. Что там не так?. Если речь про доступ из интернета идёт?
B
Cumberbatch
Ну ка ну ка. Что там не так?. Если речь про доступ из интернета идёт?
Я тоже послушаю.
МФ
Маскарадинг - частный случай NAT'а.
Применительно к iptables - в случае NAT указываем адрес явно (это предполагает, что мы его знаем на этапе создания правила, а для динамического адреса это не всегда так), а в случае маскарадинга - адрес автоматически берётся с интерфейса.
Кроме того, маскарадинг при падении линка дропает соединения, ибо после нового подключения, вероятно, будет другой адрес, а NAT - нет.
А что из них использовать в каждом конкретном случае - решаем исходя из наших нужд.
Применительно к iptables - в случае NAT указываем адрес явно (это предполагает, что мы его знаем на этапе создания правила, а для динамического адреса это не всегда так), а в случае маскарадинга - адрес автоматически берётся с интерфейса.
Кроме того, маскарадинг при падении линка дропает соединения, ибо после нового подключения, вероятно, будет другой адрес, а NAT - нет.
А что из них использовать в каждом конкретном случае - решаем исходя из наших нужд.
Какое то дикое описание)
Д
Cumberbatch
Что откуда не пингуется?
За первым поутером стоит второй, он раздает инет и он же dhcp сервер. Я подключаюсь к первому, второй не вижу. Подсеть одна. Дхцп на первом отключен.
C
За первым поутером стоит второй, он раздает инет и он же dhcp сервер. Я подключаюсь к первому, второй не вижу. Подсеть одна. Дхцп на первом отключен.
Адрес уберите там где дхцп отключили
B
За первым поутером стоит второй, он раздает инет и он же dhcp сервер. Я подключаюсь к первому, второй не вижу. Подсеть одна. Дхцп на первом отключен.
Сварганить схему))
МФ
Cumberbatch
Ну ка ну ка. Что там не так?. Если речь про доступ из интернета идёт?
Ну скажем так, по сути там нет никакой защиты от чудесных китайских ботнетов.
Хотя 90% пользователей микротиков она наоборот все сломает, т.к. они не понимают что делают.
Хотя 90% пользователей микротиков она наоборот все сломает, т.к. они не понимают что делают.
Д
Cumberbatch
Адрес уберите там где дхцп отключили
Ip роутера? Поменян на другой
C
Ну скажем так, по сути там нет никакой защиты от чудесных китайских ботнетов.
Хотя 90% пользователей микротиков она наоборот все сломает, т.к. они не понимают что делают.
Хотя 90% пользователей микротиков она наоборот все сломает, т.к. они не понимают что делают.
Вы точно видели firewall по умолчанию?
МФ
Cumberbatch
Вы точно видели firewall по умолчанию?
Ну непрямо свежих версий, но видел.
C
Ну непрямо свежих версий, но видел.
На свежих посмотрите. Там все хорошо
МФ
Да что говорить, если даже в вики микрота для защиты от ботов такие примеры приведены, которые уже давно не работают против них.
МФ
Cumberbatch
На свежих посмотрите. Там все хорошо
Мож есть где глянуть?
Не охото сброс делать)
Не охото сброс делать)
Д
Сварганить схему))
Прервый роутер мне нужен только как wifi точка. Проблема в том что нужно первый порт поменять с wan на lan.
C
Мож есть где глянуть?
Не охото сброс делать)
Не охото сброс делать)
C
Прервый роутер мне нужен только как wifi точка. Проблема в том что нужно первый порт поменять с wan на lan.
Я вам сказал что сделать. Больше ничего не нужно. На бридже убрать или поменять адрес на другой
Д
Cumberbatch
Я вам сказал что сделать. Больше ничего не нужно. На бридже убрать или поменять адрес на другой
🙏 спасибо, буду пробовать)
МФ
Cumberbatch
/interface list member
add list=LAN interface=bridge comment="defconf: eth2-eth5"
add list=WAN interface=ether1 comment="defconf"
/ip firewall nat
add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
#default #firewall #ipv4
add list=LAN interface=bridge comment="defconf: eth2-eth5"
add list=WAN interface=ether1 comment="defconf"
/ip firewall nat
add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
#default #firewall #ipv4
И веб морда и все остальное как обычно наружу?