Перейти к содержимому
Калькуляторы

nkusnetsov

Активный участник
  • Публикации

    587
  • Зарегистрирован

  • Посещение

О nkusnetsov

  • Звание
    Аспирант

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. ограничить время RDP сессии

    @lamyk , могу. В микротике есть инструмент address-list. У записей вносимых туда есть таймаут. Процедура сводится к отлову нового пакета открывающего соединение и запуску таймаутов. Потребуются два списка: короткоживущий разрешающий и долгоживущий запрещающий. Проверка выполняется в отдельной цепочке. /ip fi fi add action=accept chain=rdpcontrol src-address-list=list10 add action=reject chain=rdpcontrol src-address-list=list60 add action=add-src-to-address-list address-list=list10 address-list-timeout=10m chain=rdpcontrol connection-state=new add action=add-src-to-address-list address-list=list60 address-list-timeout=1h10m chain=rdpcontrol connection-state=new add action=accept chain=rdpcontrol В цепочке forward следующее правило надо расположить выше, чем дефолтное разрешающее для соединений со статусом established. /ip fi fi add chain=forward protocol=tcp dst-port=3389 action=jump jump-target=rdpcontrol place-before=0
  2. ограничить время RDP сессии

    Вполне возможно. 4-5 строк в фаерволе.
  3. Тогда этот адрес тоже лучше добавить на внешний интерфейс аналогично ".114" : "эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)" т.к., в отличие от циски, на микротике по-умолчанию выключен proxy-arp, и иначе ответы идущие на .115 могут не приниматься без адреса.
  4. Уточняющий вопрос. Вижу у Вас два адреса, один заканчивается на ".114", другой на ".115". Они оба на внешнем интерфейсе были? Процитированная команда, на микротике соответствует параметру "to-addresses", в правиле NAT. К какому адресу производить трансляцию. Например: "/ip firewall nat add chain=srcnat action=src-nat to-addresses=xxx.xxx.xxx.115" (сокращенный вариант. без критериев. не рекомендуется) Правильнее с критериями: "/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 action=src-nat to-addresses=xxx.xxx.xxx.115" (адреса локалки и имя внешнего интерфейса подставьте свои) Неясная ситуация. .113 - догадываюсь, что это шлюз провайдера .114 - адрес на Вашем интерфейсе. .115 - что за за адрес?
  5. Router OS + X86

    @kosmich7 , если там не видно, то рядом https://wiki.mikrotik.com/index.php?title=Supported_Hardware&oldid=29723#Ethernet_chipsets
  6. Сделать Микротик прозрачным

    К чему плодить столько правил? Winbox и WebFig работают по tcp. Ловить надо только их. В приведенном выше примере остальные протоколы (icmp, gre, ipip, ipsec) не проброшены. Сделать лучше так: /ip firewall nat add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8219 protocol=tcp to-ports=8291 add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8080 protocol=tcp to-ports=80 add action=dst-nat chain=dstnat in-interface=l2tp-out1 to-addresses=192.168.1.254
  7. Нормально Вы так народ подзапутали с фильтром. А отваливается он, согласно интервалу в параметрах ospf
  8. Udp трафик, спасите!

    @maxkst , если вы про forward (Default Forward) на беспроводном интерфейсе, то нет. Эта настройка изолирует между собой только клиентов подключенных к одной радиокарте. При этом в/из проводной сети трафик льётся беспрепятственно.
  9. Udp трафик, спасите!

    @pingz ,там много разных вероятностей, т.к. сеть была без какой-либо документации и даже без примитивных схем. Я уж не говорю о конфигах, где неправильная настройка бриджей может привести к непредсказуемым глюкам.
  10. Udp трафик, спасите!

    Это не догадка. Это инфо от автора темы. Отсюда, при наличии несегментированной сети с радиолинками, arp-запрос на выключенный хост будет генерироваться и доставляться бродкастом во всю сеть, по все свитчи. Пойдет через все мосты (включая радио) и приведет к росту TX.
  11. Как подать линк на 16 км? И какое оборудование взять?

    @slv700 , вы действительно не в курсе или только делаете вид, что не знаете об управлении разрешенными модуляциями на микротике? Набор модуляций возможно ограничить как сверху так и снизу. При низком SNR и росте BER, элементарно запрещаются высокие модуляции. Обычно это входит в настройку линка. Если только админ лютый пионер, то ему без ACM, конечно, никуда.
  12. Проверьте, перечислены ли интерфейсы VLAN14_MGMT и VLAN14_MGMT в оснастке /tool->mac-server->max-winbox среди разрешенных (входят ли в "interface-list" на который идет ссылка).
  13. Udp трафик, спасите!

    У Вас сеть не сегментирована. Иметь два по /24 в одном бродкаст-домене, в сочетании с отсутствием элементарной документации даже о линках - путь в никуда. Бесполезно спрашивать здесь, пока не потрудитесь нарисовать карту сети, Вам никто ничего толком не подскажет. Если Вы такой ленивый - увольняйте админа и продавайте бизнес.
  14. @DAF , всегда пожалуйста. Вот пруф: https://wiki.mikrotik.com/wiki/Manual:Scripting#Variables " Note: Variable value size is limited to 4096bytes "
  15. @DAF , из вики. Просто скопировать файл можно. Если брать и обрабатывать содержимое, то работает ограничение на размер переменной в памяти. .rsc это только для импорта. Целиком. Либо кусками (from-line). При объёме 14,1Мб, средствами RouterOS вы не сможете прочитать его построчно, чтобы, например, найти внутри запрещенные команды.