a-zazell Опубликовано 19 февраля, 2014 (изменено) · Жалоба Статика к приватной сети через IP с NAT дает доступ к внутренним хостам: #sh ip route 192.168.88.100 Routing entry for 192.168.88.0/24 Known via "static", distance 1, metric 0 Routing Descriptor Blocks: ... * 1.1.1.2 ... #ping 192.168.88.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.88.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms На mikrotik: [admin@MikroTik] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 192.168.88.1/24 192.168.88.0 ether2 1 1.1.1.2/30 1.1.1.0 ether1 [admin@MikroTik] > ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade out-interface=ether1 Не соображу как отфильтровать такой трафик? Изменено 19 февраля, 2014 пользователем a-zazell Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-zazell Опубликовано 19 февраля, 2014 · Жалоба Ага, нашел: [admin@MikroTik] > ip firewall mangle print Flags: X - disabled, I - invalid, D - dynamic 0 chain=prerouting action=mark-packet new-packet-mark=mark passthrough=no dst-address=192.168.88.0/24 in-interface=ether1 [admin@MikroTik] > ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward action=drop packet-mark=mark Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 19 февраля, 2014 · Жалоба лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-zazell Опубликовано 20 февраля, 2014 · Жалоба лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет Покажите как в фильтре дропнуть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-zazell Опубликовано 24 июня, 2016 · Жалоба лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет Покажите как в фильтре дропнуть. Дефолтное правило появилось, похоже по теме: /ip firewall filter add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 27 июня, 2016 · Жалоба Да просто дропайте все серые сети на входящем инт-се и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 27 июня, 2016 · Жалоба Да просто дропайте все серые сети на входящем инт-се и все. Не только исходящие пакеты с серых сетей, но и всех остальных, кроме ваших блоков белых IP. Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 27 июня, 2016 · Жалоба Juniper EX DHCP opt82??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...