Size: a a a
2021 November 08
No
я хз чо это за настройка )) у меня там по дефолту
Я сначала мостам все интерфейсы разнёс, потом уже делал правила на листы интерфейсов.
No
и в чём профит такого усложнения?
Вот так у меня filter выглядит )
Да, кстати, я больше не маркирую пакеты, сразу режу правилами )
Да и DNS такое себе запирать...
Вот давно выяснял как это должно работать )
Переслано от
Здравствуйте!
Есть такой вопрос: Как лучше и правильно составлять регулярные выражения для L7.
Сейчас использую такую схему, пример:
Есть такой вопрос: Как лучше и правильно составлять регулярные выражения для L7.
Сейчас использую такую схему, пример:
^.*(vk.com|facebook.com|ok.ru).*$
Переслано от
Далее я делаю правило prerouting в таблицу Mangle и в нём указываю протокол UDP и порт 53, действие mark packet.
В таблице Filter у меня есть правило которое делает DROP маркированному пакету.
Всё это работает, но если страница содержит ссылки на контент из примера всех трёх ресурсов, то она открывается в три раза дольше.
Я думаю что мой способ не эффективен.
В таблице Filter у меня есть правило которое делает DROP маркированному пакету.
Всё это работает, но если страница содержит ссылки на контент из примера всех трёх ресурсов, то она открывается в три раза дольше.
Я думаю что мой способ не эффективен.
Переслано от
Сделал скрипт для оценки времени:
date +'%X:%N'
host vk.com
date +'%X:%N'
Запускаю сначала с действием DROP:13:23:59:173403040
;; connection timed out; no servers could be reached
13:24:09:182729922
Запускаю сначала с действием REJECT — ICMP protocol unreachable:13:24:55:708441131
;; connection timed out; no servers could be reached
13:25:05:718214828
Собственно разницы нет. Я так понимаю из за особенности UDP.
Переслано от
В том то и дело, что клиенту нет ответа. Клиент в ждёт какое то время, срабатывает timeout и он вываливает ошибку.
Переслано от
Можно так же сделать статику, но это для DNS и нужно туда заковырять кучу ресурсов, которые в том числе неизвестные, потому то используется регулярное выражение.
Переслано от Олег Андреев...
/ip dns static принимает regexp, но я не могу придумать как подпадающие под него имена резолвить, и добавлять адреса в address list
Переслано от
Сделал, чтобы REJECT прилетал, но это для TCP только. Если например так блокировать юпуп, то нужно учитывать, что клиент может пользоваться гуглой, а этот браузер умеет QUIC.
No
L7 - это для dns что ли ?