[nemo]

Пропал доступ по Web при этом ssh работает.

Sxt2 база в лицензией 4.

Думаю перезагрузка должна помочь - но это же не дело!

[nemo]

После перезагрузки веб заработал.

До нее получал: "Connection closed by foreign host.

Welcome back!"

Вот чего, а глюков в софте не ожидал от МТ

[Saab95]

После перезагрузки веб заработал.

До нее получал: "Connection closed by foreign host.

Welcome back!"

Вот чего, а глюков в софте не ожидал от МТ

 

Это не глюки, а проблемы проектирования сети в первую очередь.

[nemo]

Как может влиять проектирование сети на MT на работу веб сервера MT.

Почему вы взяли что сеть спроектирована неверно.

Довольно опрометчивое обвинение!

[Saab95]

Как может влиять проектирование сети на MT на работу веб сервера MT.

Почему вы взяли что сеть спроектирована неверно.

Довольно опрометчивое обвинение!

 

Потому что глюки с заходом имеют какие-то корни. Часто это долбежка кучей мак адресов, или попытки захода на веб. Иногда случается, что и через винбокс нельзя попасть, хотя по маку заходит. Перезагрузка исправляет ситуацию. Нужно обновить версию ПО, либо поставить перед одной железкой другой микротик, на котором все лишнее заблокировать, и наблюдать что на него прилетает перед возникновением проблемы.

[nemo]

Потому что глюки с заходом имеют какие-то корни. Часто это долбежка кучей мак адресов, или попытки захода на веб. Иногда случается, что и через винбокс нельзя попасть, хотя по маку заходит. Перезагрузка исправляет ситуацию. Нужно обновить версию ПО, либо поставить перед одной железкой другой микротик, на котором все лишнее заблокировать, и наблюдать что на него прилетает перед возникновением проблемы.

Значит подтверждаешь глюки?

Какая куча адресов, сеть на 4 компа, хоть бы узнал вначале, прежде чем такими обвинениями сыпать.

Ну и конечно везде последнее ПО. И стоит отдельный микротик.

Изменено 18 февраля, 2014 пользователем nemo

[Saab95]

В этой сети вирус завелся, бывают такие, которые долбят по всем устройствам сети, делая попытки входа, перебирая пароли. Обычно ломают IP телефонию.

[nemo]

IP телефонию ломают по порту 5060, а не по вебу. если у кого из 4х машин вирусы и есть, то они точно не трогают точку доступа. Потому как на нее нет трафика в беспроводке.

Я в вебе активно сидел, если такая нагрузка могла его положить, чтож .. все похоже на то, что веб процесс упал и не поднялся. И это на втрой день эксплуатации. Вот как такие устройства использовать в производстве.

[Saab95]

IP телефонию ломают по порту 5060, а не по вебу. если у кого из 4х машин вирусы и есть, то они точно не трогают точку доступа. Потому как на нее нет трафика в беспроводке.

Я в вебе активно сидел, если такая нагрузка могла его положить, чтож .. все похоже на то, что веб процесс упал и не поднялся. И это на втрой день эксплуатации. Вот как такие устройства использовать в производстве.

 

Телефонию ломают по вебу, подбирая пароль на устройство, после чего берут данные из него и используют для корыстных целей. При этом основная задача - вывести шлюз или телефонный аппарат из строя, что бы он сбросил регистрацию, и ей смог воспользоваться злоумышленник.

 

На многих устройствах веб по стандартному порту открыт, в том числе и со стороны интернета - никаких проблем не возникает.

[nemo]

Блин, Сааб, ты за кого меня держишь. Сказано же, что все чисто. Тебе скрин что ли показать.

В тот день интенсивно лазил через веб и правила тестировал. Вот и повисло. Печально.

У меня к тебе другой вопрос - который так и не решил. Не могу запретить пользователям видеть друг друга. Правила не работают ни на бридже ни через firewall. Могу только исходящие заблокировать по output - но это не дело, прийдется предварительно пакетя паркировать. Не ужели нельзя нормально просто в forward заблокировать межклиентское взаимодействие?

Привык что это обычно вообще одной галочкой делается

[Saab95]

Межклиентское взаимодействие блокируется одним правилом, допустим подсеть клиентов 192.168.0.0/16. Создаете правило forward, где src.address = 192.168.0.0/16, dst.address = 192.168.0.0/16 и action = drop. После чего абоненты не смогут передавать трафик друг другу, если микротик для них является шлюзом.

 

Если они могут через микротиковский бридж общаться, тогда создаете правило на бридже in.bridge = bridge1, out.bridge = bridge1, action = drop.

 

Если у вас адреса клиентов вперемешку с адресами оборудования, что бы не городить кучу правил используйте адреслисты, при этом в правиле вверху на вкладке advanced есть соответственно src и dst address list.

[nemo]

Удалил бридж нафиг. Все равно не идет. И я подозреваю, что не идет потому как с wlan пакеты идут на wlan.

[SSD]

Удалил бридж нафиг. Все равно не идет. И я подозреваю, что не идет потому как с wlan пакеты идут на wlan.

В таком случае на интерфейсе надо убрать галку default forward.

[nemo]

Убрана. Читал что она неработает практически, только в определенной настройке.

[nemo]

Нашел, в режиме access лист эта галочка перекочевала в access list.