nemo Опубликовано 17 февраля, 2014 Пропал доступ по Web при этом ssh работает. Sxt2 база в лицензией 4. Думаю перезагрузка должна помочь - но это же не дело! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo Опубликовано 17 февраля, 2014 После перезагрузки веб заработал. До нее получал: "Connection closed by foreign host. Welcome back!" Вот чего, а глюков в софте не ожидал от МТ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 февраля, 2014 После перезагрузки веб заработал. До нее получал: "Connection closed by foreign host. Welcome back!" Вот чего, а глюков в софте не ожидал от МТ Это не глюки, а проблемы проектирования сети в первую очередь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo Опубликовано 18 февраля, 2014 Как может влиять проектирование сети на MT на работу веб сервера MT. Почему вы взяли что сеть спроектирована неверно. Довольно опрометчивое обвинение! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 февраля, 2014 Как может влиять проектирование сети на MT на работу веб сервера MT. Почему вы взяли что сеть спроектирована неверно. Довольно опрометчивое обвинение! Потому что глюки с заходом имеют какие-то корни. Часто это долбежка кучей мак адресов, или попытки захода на веб. Иногда случается, что и через винбокс нельзя попасть, хотя по маку заходит. Перезагрузка исправляет ситуацию. Нужно обновить версию ПО, либо поставить перед одной железкой другой микротик, на котором все лишнее заблокировать, и наблюдать что на него прилетает перед возникновением проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo Опубликовано 18 февраля, 2014 (изменено) Потому что глюки с заходом имеют какие-то корни. Часто это долбежка кучей мак адресов, или попытки захода на веб. Иногда случается, что и через винбокс нельзя попасть, хотя по маку заходит. Перезагрузка исправляет ситуацию. Нужно обновить версию ПО, либо поставить перед одной железкой другой микротик, на котором все лишнее заблокировать, и наблюдать что на него прилетает перед возникновением проблемы. Значит подтверждаешь глюки? Какая куча адресов, сеть на 4 компа, хоть бы узнал вначале, прежде чем такими обвинениями сыпать. Ну и конечно везде последнее ПО. И стоит отдельный микротик. Изменено 18 февраля, 2014 пользователем nemo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 февраля, 2014 В этой сети вирус завелся, бывают такие, которые долбят по всем устройствам сети, делая попытки входа, перебирая пароли. Обычно ломают IP телефонию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo Опубликовано 19 февраля, 2014 IP телефонию ломают по порту 5060, а не по вебу. если у кого из 4х машин вирусы и есть, то они точно не трогают точку доступа. Потому как на нее нет трафика в беспроводке. Я в вебе активно сидел, если такая нагрузка могла его положить, чтож .. все похоже на то, что веб процесс упал и не поднялся. И это на втрой день эксплуатации. Вот как такие устройства использовать в производстве. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 февраля, 2014 IP телефонию ломают по порту 5060, а не по вебу. если у кого из 4х машин вирусы и есть, то они точно не трогают точку доступа. Потому как на нее нет трафика в беспроводке. Я в вебе активно сидел, если такая нагрузка могла его положить, чтож .. все похоже на то, что веб процесс упал и не поднялся. И это на втрой день эксплуатации. Вот как такие устройства использовать в производстве. Телефонию ломают по вебу, подбирая пароль на устройство, после чего берут данные из него и используют для корыстных целей. При этом основная задача - вывести шлюз или телефонный аппарат из строя, что бы он сбросил регистрацию, и ей смог воспользоваться злоумышленник. На многих устройствах веб по стандартному порту открыт, в том числе и со стороны интернета - никаких проблем не возникает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo Опубликовано 19 февраля, 2014 Блин, Сааб, ты за кого меня держишь. Сказано же, что все чисто. Тебе скрин что ли показать. В тот день интенсивно лазил через веб и правила тестировал. Вот и повисло. Печально. У меня к тебе другой вопрос - который так и не решил. Не могу запретить пользователям видеть друг друга. Правила не работают ни на бридже ни через firewall. Могу только исходящие заблокировать по output - но это не дело, прийдется предварительно пакетя паркировать. Не ужели нельзя нормально просто в forward заблокировать межклиентское взаимодействие? Привык что это обычно вообще одной галочкой делается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 февраля, 2014 Межклиентское взаимодействие блокируется одним правилом, допустим подсеть клиентов 192.168.0.0/16. Создаете правило forward, где src.address = 192.168.0.0/16, dst.address = 192.168.0.0/16 и action = drop. После чего абоненты не смогут передавать трафик друг другу, если микротик для них является шлюзом. Если они могут через микротиковский бридж общаться, тогда создаете правило на бридже in.bridge = bridge1, out.bridge = bridge1, action = drop. Если у вас адреса клиентов вперемешку с адресами оборудования, что бы не городить кучу правил используйте адреслисты, при этом в правиле вверху на вкладке advanced есть соответственно src и dst address list. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo Опубликовано 19 февраля, 2014 Удалил бридж нафиг. Все равно не идет. И я подозреваю, что не идет потому как с wlan пакеты идут на wlan. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 19 февраля, 2014 Удалил бридж нафиг. Все равно не идет. И я подозреваю, что не идет потому как с wlan пакеты идут на wlan. В таком случае на интерфейсе надо убрать галку default forward. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo Опубликовано 19 февраля, 2014 Убрана. Читал что она неработает практически, только в определенной настройке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo Опубликовано 19 февраля, 2014 Нашел, в режиме access лист эта галочка перекочевала в access list. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...