Приветствую. Похоже на опечатку где-то Без текущего конфига сложно комментировать. "/export hide-sensitive file=xxx" в Терминале, затем файл сюда, например.
В IP Firewall Connections есть соединения с меткой WAN2?
Найдено 3893 результата
- 08 апр 2024, 23:47
- Форум: Маршрутизация, коммутация
- Тема: 3 WAN PCC
- Ответы: 1
- Просмотры: 14
- 04 апр 2024, 15:41
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
"А потом пришёл лесник и всех разогнал"
- 04 апр 2024, 14:59
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
Не проще отсылку в Телеграм засунуть внутрь блока do { ... }, который с on-error={}? Если добавление в address-list закончится с ошибкой - то до fetch дело не дойдёт, а ошибку проглотит on-error
- 02 апр 2024, 21:53
- Форум: Общие вопросы
- Тема: Сканят порты минуя защиту от скана микротик
- Ответы: 2
- Просмотры: 49
Re: Сканят порты минуя защиту от скана микротик
Какие порты сканят? На что обратить внимание на скрине? Что обозначают числа в столбцах? Объём трафика?
И что за "защита от скана микротик"?
И что за "защита от скана микротик"?
- 02 апр 2024, 15:31
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
Отмена миссии! Отмена миссии! Надо просто сделать "/ip firewall address-list get $i address" вместо "/ip firewall address-list get $i" Все так обрабатываются
- 02 апр 2024, 15:21
- Форум: Общие вопросы
- Тема: Защита http(s) web-сервера Apache2 от SYN/GET/POST флуда.
- Ответы: 7
- Просмотры: 10336
Re: Защита http(s) web-сервера Apache2 от SYN/GET/POST флуда.
Хм... Возможно, related, но там даже дублируется "Chain = forward; Protocol = (6)tcp; connection state = released; Action = drop;" с разным описанием... Так что с наскоку не разберёшься
- 02 апр 2024, 14:19
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
Кажется, вот так можно всё же /32 найти (т.к. они выводятся без маски):
Код: Выделить всё
address~"^[.0-9]*\$"
- 01 апр 2024, 23:19
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
Там мрак какой-то с этим отрицанием... Тестирую на версии 7.14.1: /ip/firewall/address-list> print where list=test address~".*/24\$" Columns: LIST, ADDRESS, CREATION-TIME # LIST ADDRESS CREATION-TIME 88 test 1.2.3.0/24 2024-04-01 23:14:21 /ip/firewall/address-list> print where list=test !a...
- 01 апр 2024, 13:20
- Форум: Общие вопросы
- Тема: Как закрыться от быстро прилетающих пакетов на порт?
- Ответы: 8
- Просмотры: 74
Re: Как закрыться от быстро прилетающих пакетов на порт?
Начните с правила типа такого (connection-bytes под себя отрегулируйте) /ip firewall filter add chain=forward protocol=tcp dst-port=7777 connection-bytes=100000-0 \ action=add-src-to-address-list address-list=HUGE_7777_CONNECTIONS И посмотрите, что в этот адрес-лист будет попадать. Если за пару часо...
- 01 апр 2024, 11:37
- Форум: Общие вопросы
- Тема: Как закрыться от быстро прилетающих пакетов на порт?
- Ответы: 8
- Просмотры: 74
Re: Как закрыться от быстро прилетающих пакетов на порт?
Т.е. вы подозреваете какую-то DoS-атаку? Есть какой-то "нормальный" объём трафика по одному соединению? Если это сервер авторизации - то соединения вполне могут быть короткоживущими. Тогда можно по превышении объёма данных (параметр connection-bytes) добавлять IP-адрес источника в блок-лист.
- 01 апр 2024, 11:32
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
Только сейчас добрался глянуть - и поперхнулся на ":find $i"... Потом обновил страницу и увидел, что сообщения удалены %)
- 29 мар 2024, 21:40
- Форум: Общие вопросы
- Тема: Что то не так с simple queue
- Ответы: 1
- Просмотры: 16
Re: Что то не так с simple queue
А ether5, случаем, в бридж, например, не входит?
- 29 мар 2024, 21:38
- Форум: Общие вопросы
- Тема: Как закрыться от быстро прилетающих пакетов на порт?
- Ответы: 8
- Просмотры: 74
Re: Как закрыться от быстро прилетающих пакетов на порт?
Приветствую. Вы конкретнее сформулируйте, что в вашем понимании "часто". Правило "dst-limit=50,50,src-and-dst-addresses/10s" разрешает, вроде, 50 пакетов в секунду для каждой пары "отправитель-получатель" - это часто или не часто? Тем более, что оно, по факту, считает н...
- 28 мар 2024, 23:14
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
а вот так не получится? where time>([/system clock get time] - 15m)] У меня не работает, возвращает всё подряд. Подозреваю, потому, что "get time" получает лишь время, а не дату - там ещё есть get date :) как я понимаю, для первой строки логика должна быть примерно такая: находим положени...
- 28 мар 2024, 18:29
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
проверять не весь лог, а только записи за последние 15 минут (например) А смысл? Вроде и без этого быстро отрабатывает :) И как-то лёгкого пути не вижу... записывать в блоклист не 47.252.42.12, а 47.252.42.0/24 :foreach i in=[/log/find message~"^\\d+\\.\\d+\\.\\d+\\.\\d+ phase1 negotiation fai...
- 27 мар 2024, 18:42
- Форум: Маршрутизация, коммутация
- Тема: Не видны локальные машины по VPN. L2TP
- Ответы: 15
- Просмотры: 13463
Re: Не видны локальные машины по VPN. L2TP
Политику чего? L2TP? :)
- 27 мар 2024, 18:41
- Форум: Общие вопросы
- Тема: iPhone не хочет получать адрес от DHCP сервера Mikrotik.
- Ответы: 3
- Просмотры: 55
Re: iPhone не хочет получать адрес от DHCP сервера Mikrotik.
Видел на официальном форуме упоминание Proxy-ARP как причины такой проблемы, но там тоже не написано, почему Apple так не любит его
- 26 мар 2024, 19:51
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
А какие требования?
- 26 мар 2024, 19:39
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
Код: Выделить всё
:foreach i in=[/log/find message~"^\\d+\\.\\d+\\.\\d+\\.\\d+ phase1 negotiation failed\\."] do={
:local msg [/log get $i message];
:local ip [:pick $msg 0 [:find $msg " phase1"]];
do {/ip/firewall/address-list/add list=BLOCK_ME_PLEASE address=$ip} on-error={}
}
- 26 мар 2024, 18:59
- Форум: Скрипты
- Тема: VPN подключения и Address list
- Ответы: 35
- Просмотры: 316
Re: VPN подключения и Address list
Приветствую. А много таких ошибок с одного адреса? Насколько актуально их блокировать? У меня за двое суток всего четыре ошибки с четырёх разных адресов...
- 26 мар 2024, 18:56
- Форум: Маршрутизация, коммутация
- Тема: routing filter v7 vs v6
- Ответы: 2
- Просмотры: 29
Re: routing filter v7 vs v6
А если попробовать (dst-len==0)?
Вроде как баг с /32 существует: https://forum.mikrotik.com/viewtopic.ph ... 5#p1033615
Вроде как баг с /32 существует: https://forum.mikrotik.com/viewtopic.ph ... 5#p1033615
- 26 мар 2024, 18:45
- Форум: Общие вопросы
- Тема: iPhone не хочет получать адрес от DHCP сервера Mikrotik.
- Ответы: 3
- Просмотры: 55
Re: iPhone не хочет получать адрес от DHCP сервера Mikrotik.
DHCP-серверы подняты на обоих VRRP-роутерах? Если на одном отключить для проверки?
- 19 мар 2024, 18:58
- Форум: Маршрутизация, коммутация
- Тема: VRRP и резервный канал.
- Ответы: 2
- Просмотры: 29
Re: VRRP и резервный канал.
Приветствую. Что если задать preemption-mode=yes и при пропадании интернета у роутера просто понижать priority (через тот же NetWatch хотя бы) - тогда бэкап с высшим приоритетом должен стать мастером?..
З.Ы. Не забыть приоритет вернуть обратно при появлении Инторнетов.
З.Ы. Не забыть приоритет вернуть обратно при появлении Инторнетов.
- 15 мар 2024, 15:59
- Форум: Общие вопросы
- Тема: Static DNS и Regex
- Ответы: 7
- Просмотры: 50
Re: Static DNS и Regex
Хотя тут вот ещё подумалось: можно создать набор обычных адресов, а нужные адреса заменить регуляркой на CNAME, указывающий на эти адреса
- 15 мар 2024, 15:55
- Форум: Общие вопросы
- Тема: Static DNS и Regex
- Ответы: 7
- Просмотры: 50
Re: Static DNS и Regex
Что такое "недоступен"? DNS ничего не знает про то, кто там и для чего доступен
В целом - да, регулярки в данном случае не помогут, надо оставлять всё как есть
В целом - да, регулярки в данном случае не помогут, надо оставлять всё как есть