A
другое дело, что слать пакеты не через того прова, в который они пришли, потому что не умеешь маркировать - это не асимметричная маршрутизация
Size: a a a
2020 December 12
VP
и давайте попробуем разобраться, почему мы не можем друг друга понять. Берём самую простую ситуацию: есть локалка, в которой роутером Zyxel Keenetic. Комп обращается из локалки к http://ya.ru:80. На какой порт при этом будет кинетик подменять?
А предположим комп в локалке не один. Внезапно так тоже бывает. ) А если несколько компов из локалки обращаются на яндекс синхронизируют время с соурспортом 123? )
A
А предположим комп в локалке не один. Внезапно так тоже бывает. ) А если несколько компов из локалки обращаются на яндекс синхронизируют время с соурспортом 123? )
с соурс-портом 123 )
А
другое дело, что слать пакеты не через того прова, в который они пришли, потому что не умеешь маркировать - это не асимметричная маршрутизация
Почему нет?
VP
с соурс-портом 123 )
Именно.
АА
Короче. Есть FW, через него микрот связан с внешним миром. Из внешнего мира на микрот могут приходить пакетики как для самого микрота, так и для его SNAT клиентов. задача отделить одних от других.
A
Именно.
пойду кофе налью
VP
Александр Амелькин
Короче. Есть FW, через него микрот связан с внешним миром. Из внешнего мира на микрот могут приходить пакетики как для самого микрота, так и для его SNAT клиентов. задача отделить одних от других.
В фильтре фаерволла используйте чекер nat-state
А
Александр Амелькин
Короче. Есть FW, через него микрот связан с внешним миром. Из внешнего мира на микрот могут приходить пакетики как для самого микрота, так и для его SNAT клиентов. задача отделить одних от других.
А зачем там фв если он свою функцию игнорирует?
РН
Может ли провайдер резать туннель IPsec?
А
Может ли провайдер резать туннель IPsec?
Может и довольно часто так делают
А
Не со зла
АА
В фильтре фаерволла используйте чекер nat-state
Это сработает если FW на самом микроте, а это отдельная железка. Она, в общем случае, не знает connection state
РН
Может и довольно часто так делают
РН
Такая вот ерунда
А
Какое это имеет отношение к ипсеку?
АА
Кроче esablished, related не подходит. Исходим из того, что у нас нет connection state. Еще варианты ?
D
Александр Амелькин
10000 например. Может быть больше 1024, может быть больше 49XXX...
Вы тут наркоманы.
Зависит от конкретной реализации srcnat, где-то начинают с одной нижней границы, где-то с другой. Well-known обычно не трогают, но бывают исклюяения
Зависит от конкретной реализации srcnat, где-то начинают с одной нижней границы, где-то с другой. Well-known обычно не трогают, но бывают исклюяения
VP
Александр Амелькин
Это сработает если FW на самом микроте, а это отдельная железка. Она, в общем случае, не знает connection state
Почитайте свое условие. "для самого микрота" и "для его SNAT клиентов". По такому условию делит сам микротик.
АА
Вы тут наркоманы.
Зависит от конкретной реализации srcnat, где-то начинают с одной нижней границы, где-то с другой. Well-known обычно не трогают, но бывают исклюяения
Зависит от конкретной реализации srcnat, где-то начинают с одной нижней границы, где-то с другой. Well-known обычно не трогают, но бывают исклюяения
Вот я и спрашиваю как это реализовано в микроте и как это настраивать можно, если можно.