МВ
Не нужны здесь никакие марки
Size: a a a
2020 May 23
МВ
Просто дефолт на провайдера, 10.0.0.0/8 и 172.16.0.0/12 в мингос, и белые адреса минздрава туда же
ИС
прошу прощенья за может быть глупый вопрос, нам минздрав дает точку(шлюз) и внутренюю сеть котрую слушает этот шлюз, мы хотм сохранить свою внутренюю сеть и все таки возвращаясь к мультивану иметь возможность файловера и внутренние сервисы dstnatить
МВ
Хотите добавить failover? Добавляете к провайдерскому дефолту ещё один дефолт в мингос с большей дистанцией. На оба дефолта check-gateway=ping
МВ
Внутренние сервисы выставляйте наружу, никто не мешает
ИС
а как я буду реализовывать переброс пакетов из своей внутренней сети в минздравовскую внутренню сеть?
МВ
То есть ещё и внутри две сети?
МВ
Тогда не понимаю схему
ИС
об том и речь минздрав даёт шлюз и сеть и другая сеть не работает
МВ
А зачем она? Почему бы не раздать всем адреса минздрава?
ИС
то есть в нашем случае внутреняя сеть минздрава 10.16.55.0/24
ИС
является квази isp1
МВ
Если так уж хочется чтобы из левой сети всё работало (в тч ресурсы минздрава), делайте ей нат, но не маскарад, а src-nat to-addresses=10.0.33.254 out-int=MZ
ИС
понял попробую
AS
привет! подскажите, как правильно добавлять - удалять правила фаервола при up-down pppoe клиентского интерфейса? попробовал через
но удаления правила не происходит. возможно, это потому что когда интерфейс уходит в down, у него либо уже нет local-address, либо он равен 0.0.0.0
но это только предположение. или тут нужно добавлять комментарии к правилу и удалять по комментарию?
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=172.16.2.1 protocol=tcp dst-address=$"local-address" dst-port=22 log=no log-prefix="/ip firewall nat remove chain=dstnat action=dst-nat to-addresses=172.16.2.1 protocol=tcp dst-address=$"local-address" dst-port=22 log=no log-prefix="но удаления правила не происходит. возможно, это потому что когда интерфейс уходит в down, у него либо уже нет local-address, либо он равен 0.0.0.0
но это только предположение. или тут нужно добавлять комментарии к правилу и удалять по комментарию?
MO
привет! подскажите, как правильно добавлять - удалять правила фаервола при up-down pppoe клиентского интерфейса? попробовал через
но удаления правила не происходит. возможно, это потому что когда интерфейс уходит в down, у него либо уже нет local-address, либо он равен 0.0.0.0
но это только предположение. или тут нужно добавлять комментарии к правилу и удалять по комментарию?
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=172.16.2.1 protocol=tcp dst-address=$"local-address" dst-port=22 log=no log-prefix="/ip firewall nat remove chain=dstnat action=dst-nat to-addresses=172.16.2.1 protocol=tcp dst-address=$"local-address" dst-port=22 log=no log-prefix="но удаления правила не происходит. возможно, это потому что когда интерфейс уходит в down, у него либо уже нет local-address, либо он равен 0.0.0.0
но это только предположение. или тут нужно добавлять комментарии к правилу и удалять по комментарию?
используйте find например по коменту
MO
и можно не удалять добавлять, а устанавливать нужный ip
AS
попробую. спасибо!
MO
попробую. спасибо!
/ip firewall nat remove [/ip firewall nat find where comment ="test"]
AS
/ip firewall nat remove [/ip firewall nat find where comment ="test"]
спасибо! очень помогло.
я так понимаю, удаление отработает только при корректной работе интерфейса. то есть, если правило добавлено и роутер перезагружен по питанию, то правило останется после перезагрузки и будет удалено только при следующем корректном падении интерфейса. и тогда лучше, наверное, добавить правило удаления первым, выполняемым при подъеме интерфейса, чтобы зачищались хвосты.
я так понимаю, удаление отработает только при корректной работе интерфейса. то есть, если правило добавлено и роутер перезагружен по питанию, то правило останется после перезагрузки и будет удалено только при следующем корректном падении интерфейса. и тогда лучше, наверное, добавить правило удаления первым, выполняемым при подъеме интерфейса, чтобы зачищались хвосты.