maxkst Опубликовано 23 октября, 2018 · Жалоба Вижу время от времени в Address Lists - D onhold (IP). Кто знает, с чем это едят и где почитать за это? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasya_petrovich Опубликовано 24 октября, 2018 · Жалоба D - dynamic. onhold - название листа. Он создается автоматически при наступлении условий указанных в Firewall. Ищите в правилах firewall Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 24 октября, 2018 · Жалоба Поискал - не нашел. Еще варианты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 25 октября, 2018 · Жалоба 14 часов назад, maxkst сказал: Поискал - не нашел. Еще варианты? Плохо искал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 25 октября, 2018 · Жалоба 11 часов назад, EugeneTV сказал: Плохо искал. Серьёзно??? В 10/24/2018 в 03:02, vasya_petrovich сказал: D - dynamic. onhold - название листа. Он создается автоматически при наступлении условий указанных в Firewall. Ищите в правилах firewall # oct/25/2018 10:58:44 by RouterOS 6.43.4 # software id = XXXX-XXXX # # model = CCR1036-8G-2S+ # serial number = XXXXXXXXXXXX /ip firewall address-list add address=XX.XX.XX.XX list=DNS add address=XX.XX.XX.XX list=DNS add address=8.8.8.8 list=DNS add address=8.8.4.4 list=DNS add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX list=DNS add address=XX.XX.XX.XX/26 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/26 list=XXXX-Cust add address=XX.XX.XX.XX/28 list=XXXX-Cust add address=XX.XX.XX.XX/28 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/29 list=XXXX-Cust add address=XX.XX.XX.XX/28 list=XXXX-Cust add address=XX.XX.XX.XX/28 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/26 list=XXXX-Cust add address=XX.XX.XX.XX/26 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/16 list=XXXX-Cust add address=XX.XX.XX.XX/24 list=XX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust add address=XX.XX.XX.XX/26 list=XXXX-Cust add address=XX.XX.XX.XX/27 list=XXXX-Cust /ip firewall filter add action=fasttrack-connection chain=forward comment=\ "DO NOT ENABLE - Established or Related" connection-state=\ established,related disabled=yes add action=accept chain=forward comment="Established or Related" \ connection-state=established,related add action=accept chain=forward disabled=yes src-address=XX.XX.XX.XX/24 add action=accept chain=forward disabled=yes dst-address=XX.XX.XX.XX/24 add action=accept chain=forward comment="Accept from XXXX-Cust" in-interface=\ all-ppp out-interface=E1_V6 src-address-list=XXXX-Cust add action=accept chain=forward comment="Accept from XXXX-Cust" in-interface=\ all-ppp out-interface=E1_V6 src-address-list=VF-Cust add action=accept chain=forward comment="Accept from XXXX-Cust" disabled=yes \ in-interface=all-ppp out-interface=E1_V6 add action=accept chain=forward comment="Accept to XXXX-Cust" \ dst-address-list=XXXX-Cust in-interface=E1_V6 out-interface=all-ppp add action=accept chain=forward comment="Accept to XXXX-Cust" \ dst-address-list=VF-Cust in-interface=E1_V6 out-interface=all-ppp add action=accept chain=forward comment="Accept to XXXX-Cust" disabled=yes \ in-interface=E1_V6 out-interface=all-ppp add action=accept chain=input dst-port=161 protocol=udp src-address=\ XX.XX.XX.XX/8 add action=accept chain=input comment="Established or Related" \ connection-state=established,related add action=accept chain=input comment=MGMT in-interface=!E1_V6 src-address=\ XX.XX.XX.XX/8 add action=accept chain=input comment="MT Discovery" in-interface=!E1_V6 \ in-interface-list=Discovery protocol=udp src-port=5678 add action=accept chain=input comment=Ping protocol=icmp add action=accept chain=input comment=DNS protocol=udp src-address-list=DNS add action=accept chain=forward in-interface=all-ppp out-interface=all-ppp add action=drop chain=forward comment=Invalid connection-state=invalid add action=drop chain=input comment=Invalid connection-state=invalid add action=drop chain=forward add action=drop chain=input /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=BGP passthrough=no \ src-address=XX.XX.XX.XX/24 add action=mark-packet chain=prerouting in-interface=BR_XXXX \ new-packet-mark=XXXX passthrough=no add action=mark-packet chain=forward new-packet-mark=XXXX out-interface=\ BR_XXXX passthrough=no /ip firewall nat add action=masquerade chain=srcnat out-interface=E1_V6 src-address=\ XX.XX.XX.XX/16 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 26 октября, 2018 · Жалоба Запись в address-list может добавляться не только правилами фаервола, но и из любого скрипта. А также внешним вызовом команды через API/SSH/etc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 26 октября, 2018 · Жалоба 33 minutes ago, nkusnetsov said: Запись в address-list может добавляться не только правилами фаервола, но и из любого скрипта. А также внешним вызовом команды через API/SSH/etc Или живность завелась. Лечил тут такого - левый скрипт появился - удаляешь, а после ребута он опять на месте - netinstall помог. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 26 октября, 2018 · Жалоба 5 часов назад, nkusnetsov сказал: не только правилами фаервола Я встречал такое на многих PPPoE серверах. Явно в скриптах ничего нет. И это очень похоже на какой-то внутренний скрипт от MT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 26 октября, 2018 · Жалоба У нас до сих пор три PPPoE в продакшне, на каждом есть один-два адреса onhold Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 26 октября, 2018 · Жалоба @maxkst А чей адрес в onhold? У меня также несколько микротиков с PPPoE, никогда такого адрес листа не было. У вас какая версия RoS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 26 октября, 2018 · Жалоба Адрес(а) клиента(тов) динамические из пула(ов). Раньше они меня не интересовали, пока однажды не столкнулся с проблемой, которая была решена удалением одного из адресов из этого листа. ROS 6.39.2, 6.43.4 , 6.38.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 26 октября, 2018 · Жалоба А в ppp профилях скриптов нет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artom_12 Опубликовано 27 октября, 2018 · Жалоба могу предложить 1 вариант, возможно поможет открывает консоль, делаем export (всего конфига) копируем в блокнот и ищем onhold. нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 октября, 2018 · Жалоба 15 часов назад, Artom_12 сказал: делаем export (всего конфига) C опцией verbose Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 29 октября, 2018 · Жалоба В 10/26/2018 в 18:06, McSea сказал: А в ppp профилях скриптов нет ? нет В 10/27/2018 в 12:21, Artom_12 сказал: нет? нет В 10/28/2018 в 03:56, jffulcrum сказал: C опцией verbose тоже нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...