Перейти к содержимому
Калькуляторы

D onhold (откуда берется и куда уходит)???

Вижу время от времени в Address Lists - D onhold (IP). Кто знает, с чем это едят и где почитать за это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

D - dynamic.
onhold - название листа.
Он создается автоматически при наступлении условий указанных в Firewall.

Ищите в правилах firewall

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, maxkst сказал:

Поискал - не нашел. Еще варианты?

Плохо искал.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, EugeneTV сказал:

Плохо искал.

 

Серьёзно???

 

 

В 10/24/2018 в 03:02, vasya_petrovich сказал:

D - dynamic.
onhold - название листа.
Он создается автоматически при наступлении условий указанных в Firewall.

Ищите в правилах firewall

# oct/25/2018 10:58:44 by RouterOS 6.43.4
# software id = XXXX-XXXX
#
# model = CCR1036-8G-2S+
# serial number = XXXXXXXXXXXX
/ip firewall address-list
add address=XX.XX.XX.XX list=DNS
add address=XX.XX.XX.XX list=DNS
add address=8.8.8.8 list=DNS
add address=8.8.4.4 list=DNS
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX list=DNS
add address=XX.XX.XX.XX/26 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/26 list=XXXX-Cust
add address=XX.XX.XX.XX/28 list=XXXX-Cust
add address=XX.XX.XX.XX/28 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/29 list=XXXX-Cust
add address=XX.XX.XX.XX/28 list=XXXX-Cust
add address=XX.XX.XX.XX/28 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/26 list=XXXX-Cust
add address=XX.XX.XX.XX/26 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/16 list=XXXX-Cust
add address=XX.XX.XX.XX/24 list=XX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
add address=XX.XX.XX.XX/26 list=XXXX-Cust
add address=XX.XX.XX.XX/27 list=XXXX-Cust
/ip firewall filter
add action=fasttrack-connection chain=forward comment=\
    "DO NOT ENABLE  - Established or Related" connection-state=\
    established,related disabled=yes
add action=accept chain=forward comment="Established or Related" \
    connection-state=established,related
add action=accept chain=forward disabled=yes src-address=XX.XX.XX.XX/24
add action=accept chain=forward disabled=yes dst-address=XX.XX.XX.XX/24
add action=accept chain=forward comment="Accept from XXXX-Cust" in-interface=\
    all-ppp out-interface=E1_V6 src-address-list=XXXX-Cust
add action=accept chain=forward comment="Accept from XXXX-Cust" in-interface=\
    all-ppp out-interface=E1_V6 src-address-list=VF-Cust
add action=accept chain=forward comment="Accept from XXXX-Cust" disabled=yes \
    in-interface=all-ppp out-interface=E1_V6
add action=accept chain=forward comment="Accept to XXXX-Cust" \
    dst-address-list=XXXX-Cust in-interface=E1_V6 out-interface=all-ppp
add action=accept chain=forward comment="Accept to XXXX-Cust" \
    dst-address-list=VF-Cust in-interface=E1_V6 out-interface=all-ppp
add action=accept chain=forward comment="Accept to XXXX-Cust" disabled=yes \
    in-interface=E1_V6 out-interface=all-ppp
add action=accept chain=input dst-port=161 protocol=udp src-address=\
    XX.XX.XX.XX/8
add action=accept chain=input comment="Established or Related" \
    connection-state=established,related
add action=accept chain=input comment=MGMT in-interface=!E1_V6 src-address=\
    XX.XX.XX.XX/8
add action=accept chain=input comment="MT Discovery" in-interface=!E1_V6 \
    in-interface-list=Discovery protocol=udp src-port=5678
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=input comment=DNS protocol=udp src-address-list=DNS
add action=accept chain=forward in-interface=all-ppp out-interface=all-ppp
add action=drop chain=forward comment=Invalid connection-state=invalid
add action=drop chain=input comment=Invalid connection-state=invalid
add action=drop chain=forward
add action=drop chain=input
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=BGP passthrough=no \
    src-address=XX.XX.XX.XX/24
add action=mark-packet chain=prerouting in-interface=BR_XXXX \
    new-packet-mark=XXXX passthrough=no
add action=mark-packet chain=forward new-packet-mark=XXXX out-interface=\
    BR_XXXX passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=E1_V6 src-address=\
    XX.XX.XX.XX/16
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
 

 

Capture.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Запись в address-list может добавляться не только правилами фаервола, но и из любого скрипта. А также внешним вызовом команды через API/SSH/etc

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

33 minutes ago, nkusnetsov said:

Запись в address-list может добавляться не только правилами фаервола, но и из любого скрипта. А также внешним вызовом команды через API/SSH/etc

Или живность завелась. Лечил тут такого - левый скрипт появился - удаляешь, а после ребута он опять на месте - netinstall помог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

5 часов назад, nkusnetsov сказал:

не только правилами фаервола

Я встречал такое на многих PPPoE серверах.  Явно в скриптах ничего нет. И это очень похоже на какой-то внутренний скрипт от MT. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас до сих пор три PPPoE в продакшне, на каждом есть один-два адреса onhold

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@maxkst 

А чей адрес в onhold?

У меня также несколько микротиков с PPPoE, никогда такого адрес листа не было.

У вас какая версия RoS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Адрес(а) клиента(тов) динамические из пула(ов). Раньше они меня не интересовали, пока однажды не столкнулся с проблемой, которая была решена удалением одного из адресов из этого листа.

ROS 6.39.2, 6.43.4 , 6.38.1  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в ppp профилях скриптов нет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

могу предложить 1 вариант, возможно поможет

открывает консоль, делаем export (всего конфига) копируем в блокнот и ищем onhold. 

нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 часов назад, Artom_12 сказал:

делаем export (всего конфига)

C опцией verbose

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 10/26/2018 в 18:06, McSea сказал:

А в ppp профилях скриптов нет ?

нет

В 10/27/2018 в 12:21, Artom_12 сказал:

нет?

нет

 

В 10/28/2018 в 03:56, jffulcrum сказал:

C опцией verbose

тоже нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.