IO
Вероятно
Size: a a a
2019 November 11
𝕐
проще настраивать уже отдельный фаерврол… вести и держать базу пользоватейлей
ну я такой вариант и рассматриваю изначально. Подумал что можно на микроте все тоже самое. Сейчас как то так и работает, я даже с юзеров айпишники домашние собираю что бы хоть как то секьюрнее)))))))))
IO
add action=fasttrack-connection chain=forward comment="FastTrack LAN <=> WAN traffic" connection-state=established,relatedadd action=accept chain=forward comment="LAN <= WAN est;rel" connection-state=established,related in-interface-list=WAN out-interface-list=LANadd action=accept chain=forward comment="LAN => WAN" in-interface-list=LAN out-interface-list=WANB
ну я такой вариант и рассматриваю изначально. Подумал что можно на микроте все тоже самое. Сейчас как то так и работает, я даже с юзеров айпишники домашние собираю что бы хоть как то секьюрнее)))))))))
если не смущает вопрос цены (приобретения отдельной) железки то конечно отдельная роль - белый список клиентов, может порт кнокинг … или даже сделать DST NAT через порт кнокинг )
B
но не 3011 )
𝕐
Микротов 3011 пол коробки без дела лежит)))
𝕐
Рекмаунтовых
B
)))
B
ну тогда если лежит ) почему бы и нет
E
WAN => LAN нормально, тикает dummy rule
WAN <= LAN тикают правило action=accept established,related и action=fasttrack
WAN <= LAN тикают правило action=accept established,related и action=fasttrack
и вот поясни таки, что тебе не нраицца-то, моя не совсем понимать
E
add action=fasttrack-connection chain=forward comment="FastTrack LAN <=> WAN traffic" connection-state=established,relatedadd action=accept chain=forward comment="LAN <= WAN est;rel" connection-state=established,related in-interface-list=WAN out-interface-list=LANadd action=accept chain=forward comment="LAN => WAN" in-interface-list=LAN out-interface-list=WANна первый взгляд - всё норм
IO
когда траффик идёт извне в локалку, тикает на 100мбит dummy rule, и примерно 10-15 мбит правила фасттрек и accept.
А когда лью наружу, тикают на все 100мбит правила fasttrack и accept. Но не dummy rule
А когда лью наружу, тикают на все 100мбит правила fasttrack и accept. Но не dummy rule
VB
WAN => LAN нормально, тикает dummy rule
WAN <= LAN тикают правило action=accept established,related и action=fasttrack
WAN <= LAN тикают правило action=accept established,related и action=fasttrack
думми тикает для всего, а wan-lan потому что новые коннекты с лана идут а не с вана скорее всего
IO
там один коннект через scp лью тестово файл наружу или внутрь
IO
scp инициирую у себя в локалке
B
покажи
IO
не получится удалённо, я на работе щас
VB
там один коннект через scp лью тестово файл наружу или внутрь
а маркировок у тебя там никаких нет?
B
а зачем еще одно правило
IO
так-то есть, но на ssh-туннели они не распространяются.
Сейчас попробую выключить
Сейчас попробую выключить