maxkst Posted October 23, 2018 Posted October 23, 2018 Вижу время от времени в Address Lists - D onhold (IP). Кто знает, с чем это едят и где почитать за это? Вставить ник Quote
vasya_petrovich Posted October 24, 2018 Posted October 24, 2018 D - dynamic. onhold - название листа. Он создается автоматически при наступлении условий указанных в Firewall. Ищите в правилах firewall Вставить ник Quote
maxkst Posted October 24, 2018 Author Posted October 24, 2018 Поискал - не нашел. Еще варианты? Вставить ник Quote
EugeneTV Posted October 25, 2018 Posted October 25, 2018 14 часов назад, maxkst сказал: Поискал - не нашел. Еще варианты? Плохо искал. Вставить ник Quote
maxkst Posted October 25, 2018 Author Posted October 25, 2018 11 часов назад, EugeneTV сказал: Плохо искал. Серьёзно??? В 10/24/2018 в 03:02, vasya_petrovich сказал: D - dynamic. onhold - название листа. Он создается автоматически при наступлении условий указанных в Firewall. Ищите в правилах firewall # oct/25/2018 10:58:44 by RouterOS 6.43.4 # software id = XXXX-XXXX # # model = CCR1036-8G-2S+ # serial number = XXXXXXXXXXXX /ip firewall address-list add address=XX.XX.XX.XX list=DNS add address=XX.XX.XX.XX list=DNS add address=8.8.8.8 list=DNS add address=8.8.4.4 list=DNS add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX list=DNS add address=XX.XX.XX.XX/26 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/26 list=XXXX-Cust add address=XX.XX.XX.XX/28 list=XXXX-Cust add address=XX.XX.XX.XX/28 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/29 list=XXXX-Cust add address=XX.XX.XX.XX/28 list=XXXX-Cust add address=XX.XX.XX.XX/28 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/26 list=XXXX-Cust add address=XX.XX.XX.XX/26 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/16 list=XXXX-Cust add address=XX.XX.XX.XX/24 list=XX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/26 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust /ip firewall filter add action=fasttrack-connection chain=forward comment=\ "DO NOT ENABLE - Established or Related" connection-state=\ established,related disabled=yes add action=accept chain=forward comment="Established or Related" \ connection-state=established,related add action=accept chain=forward disabled=yes src-address=XX.XX.XX.XX/24 add action=accept chain=forward disabled=yes dst-address=XX.XX.XX.XX/24 add action=accept chain=forward comment="Accept from XXXX-Cust" in-interface=\ all-ppp out-interface=E1_V6 src-address-list=XXXX-Cust add action=accept chain=forward comment="Accept from XXXX-Cust" in-interface=\ all-ppp out-interface=E1_V6 src-address-list=VF-Cust add action=accept chain=forward comment="Accept from XXXX-Cust" disabled=yes \ in-interface=all-ppp out-interface=E1_V6 add action=accept chain=forward comment="Accept to XXXX-Cust" \ dst-address-list=XXXX-Cust in-interface=E1_V6 out-interface=all-ppp add action=accept chain=forward comment="Accept to XXXX-Cust" \ dst-address-list=VF-Cust in-interface=E1_V6 out-interface=all-ppp add action=accept chain=forward comment="Accept to XXXX-Cust" disabled=yes \ in-interface=E1_V6 out-interface=all-ppp add action=accept chain=input dst-port=161 protocol=udp src-address=\ XX.XX.XX.XX/8 add action=accept chain=input comment="Established or Related" \ connection-state=established,related add action=accept chain=input comment=MGMT in-interface=!E1_V6 src-address=\ XX.XX.XX.XX/8 add action=accept chain=input comment="MT Discovery" in-interface=!E1_V6 \ in-interface-list=Discovery protocol=udp src-port=5678 add action=accept chain=input comment=Ping protocol=icmp add action=accept chain=input comment=DNS protocol=udp src-address-list=DNS add action=accept chain=forward in-interface=all-ppp out-interface=all-ppp add action=drop chain=forward comment=Invalid connection-state=invalid add action=drop chain=input comment=Invalid connection-state=invalid add action=drop chain=forward add action=drop chain=input /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=BGP passthrough=no \ src-address=XX.XX.XX.XX/24 add action=mark-packet chain=prerouting in-interface=BR_XXXX \ new-packet-mark=XXXX passthrough=no add action=mark-packet chain=forward new-packet-mark=XXXX out-interface=\ BR_XXXX passthrough=no /ip firewall nat add action=masquerade chain=srcnat out-interface=E1_V6 src-address=\ XX.XX.XX.XX/16 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes Вставить ник Quote
nkusnetsov Posted October 26, 2018 Posted October 26, 2018 Запись в address-list может добавляться не только правилами фаервола, но и из любого скрипта. А также внешним вызовом команды через API/SSH/etc Вставить ник Quote
DAF Posted October 26, 2018 Posted October 26, 2018 33 minutes ago, nkusnetsov said: Запись в address-list может добавляться не только правилами фаервола, но и из любого скрипта. А также внешним вызовом команды через API/SSH/etc Или живность завелась. Лечил тут такого - левый скрипт появился - удаляешь, а после ребута он опять на месте - netinstall помог. Вставить ник Quote
maxkst Posted October 26, 2018 Author Posted October 26, 2018 5 часов назад, nkusnetsov сказал: не только правилами фаервола Я встречал такое на многих PPPoE серверах. Явно в скриптах ничего нет. И это очень похоже на какой-то внутренний скрипт от MT. Вставить ник Quote
maxkst Posted October 26, 2018 Author Posted October 26, 2018 У нас до сих пор три PPPoE в продакшне, на каждом есть один-два адреса onhold Вставить ник Quote
McSea Posted October 26, 2018 Posted October 26, 2018 @maxkst А чей адрес в onhold? У меня также несколько микротиков с PPPoE, никогда такого адрес листа не было. У вас какая версия RoS? Вставить ник Quote
maxkst Posted October 26, 2018 Author Posted October 26, 2018 Адрес(а) клиента(тов) динамические из пула(ов). Раньше они меня не интересовали, пока однажды не столкнулся с проблемой, которая была решена удалением одного из адресов из этого листа. ROS 6.39.2, 6.43.4 , 6.38.1 Вставить ник Quote
McSea Posted October 26, 2018 Posted October 26, 2018 А в ppp профилях скриптов нет ? Вставить ник Quote
Artom_12 Posted October 27, 2018 Posted October 27, 2018 могу предложить 1 вариант, возможно поможет открывает консоль, делаем export (всего конфига) копируем в блокнот и ищем onhold. нет? Вставить ник Quote
jffulcrum Posted October 28, 2018 Posted October 28, 2018 15 часов назад, Artom_12 сказал: делаем export (всего конфига) C опцией verbose Вставить ник Quote
maxkst Posted October 29, 2018 Author Posted October 29, 2018 В 10/26/2018 в 18:06, McSea сказал: А в ppp профилях скриптов нет ? нет В 10/27/2018 в 12:21, Artom_12 сказал: нет? нет В 10/28/2018 в 03:56, jffulcrum сказал: C опцией verbose тоже нет Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.