Jump to content
Калькуляторы

D onhold (откуда берется и куда уходит)???

Вижу время от времени в Address Lists - D onhold (IP). Кто знает, с чем это едят и где почитать за это?

Share this post


Link to post
Share on other sites

D - dynamic.
onhold - название листа.
Он создается автоматически при наступлении условий указанных в Firewall.

Ищите в правилах firewall

Share this post


Link to post
Share on other sites
14 часов назад, maxkst сказал:

Поискал - не нашел. Еще варианты?

Плохо искал.

 

Share this post


Link to post
Share on other sites
11 часов назад, EugeneTV сказал:

Плохо искал.

 

Серьёзно???

 

 

В 10/24/2018 в 03:02, vasya_petrovich сказал:

D - dynamic.
onhold - название листа.
Он создается автоматически при наступлении условий указанных в Firewall.

Ищите в правилах firewall

# oct/25/2018 10:58:44 by RouterOS 6.43.4
# software id = XXXX-XXXX
#
# model = CCR1036-8G-2S+
# serial number = XXXXXXXXXXXX
/ip firewall address-list
add address=XX.XX.XX.XX list=DNS
add address=XX.XX.XX.XX list=DNS
add address=8.8.8.8 list=DNS
add address=8.8.4.4 list=DNS
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX list=DNS
add address=XX.XX.XX.XX/26 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/26 list=XXXX-Cust
add address=XX.XX.XX.XX/28 list=XXXX-Cust
add address=XX.XX.XX.XX/28 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/29 list=XXXX-Cust
add address=XX.XX.XX.XX/28 list=XXXX-Cust
add address=XX.XX.XX.XX/28 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/26 list=XXXX-Cust
add address=XX.XX.XX.XX/26 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/16 list=XXXX-Cust
add address=XX.XX.XX.XX/24 list=XX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/26 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
/ip firewall filter
add action=fasttrack-connection chain=forward comment=\
    "DO NOT ENABLE  - Established or Related" connection-state=\
    established,related disabled=yes
add action=accept chain=forward comment="Established or Related" \
    connection-state=established,related
add action=accept chain=forward disabled=yes src-address=XX.XX.XX.XX/24
add action=accept chain=forward disabled=yes dst-address=XX.XX.XX.XX/24
add action=accept chain=forward comment="Accept from XXXX-Cust" in-interface=\
    all-ppp out-interface=E1_V6 src-address-list=XXXX-Cust
add action=accept chain=forward comment="Accept from XXXX-Cust" in-interface=\
    all-ppp out-interface=E1_V6 src-address-list=VF-Cust
add action=accept chain=forward comment="Accept from XXXX-Cust" disabled=yes \
    in-interface=all-ppp out-interface=E1_V6
add action=accept chain=forward comment="Accept to XXXX-Cust" \
    dst-address-list=XXXX-Cust in-interface=E1_V6 out-interface=all-ppp
add action=accept chain=forward comment="Accept to XXXX-Cust" \
    dst-address-list=VF-Cust in-interface=E1_V6 out-interface=all-ppp
add action=accept chain=forward comment="Accept to XXXX-Cust" disabled=yes \
    in-interface=E1_V6 out-interface=all-ppp
add action=accept chain=input dst-port=161 protocol=udp src-address=\
    XX.XX.XX.XX/8
add action=accept chain=input comment="Established or Related" \
    connection-state=established,related
add action=accept chain=input comment=MGMT in-interface=!E1_V6 src-address=\
    XX.XX.XX.XX/8
add action=accept chain=input comment="MT Discovery" in-interface=!E1_V6 \
    in-interface-list=Discovery protocol=udp src-port=5678
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=input comment=DNS protocol=udp src-address-list=DNS
add action=accept chain=forward in-interface=all-ppp out-interface=all-ppp
add action=drop chain=forward comment=Invalid connection-state=invalid
add action=drop chain=input comment=Invalid connection-state=invalid
add action=drop chain=forward
add action=drop chain=input
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=BGP passthrough=no \
    src-address=XX.XX.XX.XX/24
add action=mark-packet chain=prerouting in-interface=BR_XXXX \
    new-packet-mark=XXXX passthrough=no
add action=mark-packet chain=forward new-packet-mark=XXXX out-interface=\
    BR_XXXX passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=E1_V6 src-address=\
    XX.XX.XX.XX/16
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
 

 

Capture.PNG

Share this post


Link to post
Share on other sites

Запись в address-list может добавляться не только правилами фаервола, но и из любого скрипта. А также внешним вызовом команды через API/SSH/etc

Share this post


Link to post
Share on other sites
33 minutes ago, nkusnetsov said:

Запись в address-list может добавляться не только правилами фаервола, но и из любого скрипта. А также внешним вызовом команды через API/SSH/etc

Или живность завелась. Лечил тут такого - левый скрипт появился - удаляешь, а после ребута он опять на месте - netinstall помог.

Share this post


Link to post
Share on other sites

 

5 часов назад, nkusnetsov сказал:

не только правилами фаервола

Я встречал такое на многих PPPoE серверах.  Явно в скриптах ничего нет. И это очень похоже на какой-то внутренний скрипт от MT. 

Share this post


Link to post
Share on other sites

У нас до сих пор три PPPoE в продакшне, на каждом есть один-два адреса onhold

Share this post


Link to post
Share on other sites

@maxkst 

А чей адрес в onhold?

У меня также несколько микротиков с PPPoE, никогда такого адрес листа не было.

У вас какая версия RoS?

Share this post


Link to post
Share on other sites

Адрес(а) клиента(тов) динамические из пула(ов). Раньше они меня не интересовали, пока однажды не столкнулся с проблемой, которая была решена удалением одного из адресов из этого листа.

ROS 6.39.2, 6.43.4 , 6.38.1  

Share this post


Link to post
Share on other sites

А в ppp профилях скриптов нет ?

Share this post


Link to post
Share on other sites

могу предложить 1 вариант, возможно поможет

открывает консоль, делаем export (всего конфига) копируем в блокнот и ищем onhold. 

нет?

Share this post


Link to post
Share on other sites
15 часов назад, Artom_12 сказал:

делаем export (всего конфига)

C опцией verbose

Share this post


Link to post
Share on other sites
В 10/26/2018 в 18:06, McSea сказал:

А в ppp профилях скриптов нет ?

нет

В 10/27/2018 в 12:21, Artom_12 сказал:

нет?

нет

 

В 10/28/2018 в 03:56, jffulcrum сказал:

C опцией verbose

тоже нет

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now