MikroTik - zrusenie bridge (default SOHO settings)

[shiro]

v zivote som nikde ziadnu vlan nerobil. odpisal som na fore chalanovi nech da nejake info ze ako the samba shares funguju na libreelecu...lezie to z nich jak z partizanov. myslim ze ani oni sami to nevedia. vivat linux
Uz ma raz vytocili s dobrych 20r nevyriesenou neschopnostou linuxu pouzivat NTFS particie bez straty rychlosti...kokos, robi na tom X tisic ludi a 20r toto nevedia spravit? Sak uz musia reverzne inzinierovany zdrojak ovladaca NTFS filesystemu poznat naspamat. Vyriesene formatnutim na ext3, co samozrejme bezi OK. akurat stratenych par hodin pri kopirovani 600GB dat von a dnu

K tomu sledovaniu - musim daco rozbehnut aj na htpc, aby to odpovedalo hlavnemu pc ci routeru ze paket dosiel? Alebo staci len torch?

[shiro]

takze update....chalan z tamojsieho fora mi linkol toto:
http://www.oreilly.com/openbook/samba/book/ch04_06.html

ak sa chce dakomu citat zo zvedavosti. Pojednava sa tam o sambe na viacerych subnetoch. to ked som to narychlo prezrel, velmi rychlo ma presla chut, co tam riesia...editaciu samba.conf, hosts-deny a hosts-allow a podobne kraviny....dakujem neprosim
to si fakt necham ether3 ako slave ether2 a nech su oba v jednom subnete - nastavene za 5 sekund a fici to. Ako sa morit s linuxom a este cez terminal

[mp3turbo]

hosts allow... toto. A teraz si predstav ze by neboli povolene hosty ani z rovnakeho subnetu by default, to by si bol v riťách čo ?
Holt Mikrotikom si vyriesil problem ktory ti sposobilo nieco velmi velmi ine. Nabuduce neber hentaku sprostost ale normalny HTPC

[16cmfan]

Fakt blbost toto skoda

[shiro]

preco by nepovolovali ani hosty z rovnakeho subnetu?
pripadne kuknem este co je v tych hosts suboroch.

to htpc je normalny pc, s athlonom 5350 am1 socket, mini ITX doskou a 2GB RAM. Nemam problem tam dat windows. kedysi, este na predoslom starom htpc som tak fungoval.
no ako som objevil tieto krpate linux distra, tak pouzivam tie, pretoze mi to vyhovuje. cely OS ma 200MB, BIOS trva dlhsie ako boot toho OS

netusim ci s pristupom z inych subnetov nepocitali alebo je to fakt nejaky problem povolit v tom linuxe. O rieseni tychto veci v linuxe neviem nic, nikdy som to neriesil.

[mp3turbo]

>> preco by nepovolovali ani hosty z rovnakeho subnetu?

a preco nepovoluju hosty z inych subnetov ? Ja viem ze je to rozlicna otazka, ale... preco tam maju "nejaky ciastocny" firewall...

[shiro]

to netusim...vzhladom na to, o ake distro a pre ake zariadenie sa jedna, tak nejaky firewall je to posledne co by tam malo byt.
rovnako ako kadejake proprietarne mediacentra typu popcorn hour o dacom takom ani nepoculi...a tiez ficia na dacom postavenom na linuxe.

[Odar]

Tu virtualnu LAN si vytvaral ku ktoremu interface? Ako to vlastne funguje? Nasledne to potom nejako presmerovavas (cez NAT?)? To som nepochytil - mozes tu myslienku trochu rozpisat?

[mp3turbo]

virtualna lan sa nepresmerovava ani nenatuje. Predstav si to takto : na danom konkretnom fyzickom porte zariadenia (mikrotik alebo akakolvek ina vec, switch, router, firewall, hociake zariadenie) moze fungovat iba sietovy traffic ktory patri do prislusnych VLAN. Kazda VLAN znamena nejaku siet, napriklad 192.168.88.0/24 bude VLAN cislo 25 ; 192.168.100.0/24 bude VLAN 87 a podobne.

Vsetky pakety ktore nepatria do VLANov povolenych na danom porte nemozu cez dany port prejst. Nie je to firewall pretoze firewall smeruje odniekade niekam konkretne - toto je akokeby "switch vo switchi". Spolu sa budu rozpravat len porty ktore patria do rovnakych VLAN.

vymyslim si :
Port1 : VLAN 10, 15, 20
Port2 : VLAN 23
Port3 : VLAN 15
Port4 : VLAN 20, 23
Port5 : VLAN 14

tak port1 moze vypravat s portom 3 (pretoze maju rovnaku VLAN15) a portom 4 (VLAN20)
port2 moze vypravat s portom 4 a ziadnym inym (spolocna VLAN 23)
port3 moze vypravat s jednickou, to sme uz hore o dva riadky pisali
port4 moze kvakat s portom1 (lebo VLAN20) a portom 2 (lebo VLAN23)
port5 si moze akurat tak trhnut pretoze VLAN14 okrem neho nikto iny nema nakonfigurovanu

cize toto je nieco ine ako firewally. Tu sa bavis o "sietovu uroven nizsie", je to proste ine. Ked ma niekto naladu, nastudovat OSI vrstvy sietovej komunikacie, je ich sedem. Firewall je na urovni3, toto je uroven2 a z toho vyplyvaju nejake vyhody aj nevyhody.


Neexistuje vec ze po nakonfigurovani VLANu to chalanovi zacalo chodit v tomto konkretnom pripade - nema to s tym nic spolocne. Ked tie porty zbridguje (to je slovo!) a hodi na obidve masiny TCP/IP adresy z rovnakeho segmentu, tak na zaklade "mozu na mna ist len spolubojovnici z rovnakej siete" to samozrejme bude fungovat (dva rozlicne fyzicke porty su len komplikacia a maju s riesenim blbosti HTPC pramalo spolocne - teda v zmysle aby si niekto nemyslel ze tie porty musia byt v bridge. Nemusia samozrejme).

V tomto pripade ale VLANy nepomozu a nevyriesia problem.

[Odar]

BTW hlavne pri kopirovani velkych suborov cez wifi som si vsimol viac vytazeny CPU. Co som cital na MikroTik fore, tak je to prave tym, ze to routuje z jednej podsiete do druhej. Pri pouzivani bridge sa mi nikdy nepodarilo dostat CPU nad 80 %. Teraz sa dotanem aj na 95 %. Neviem, ci to dokonca potom neovplyvnuje maximalnu rychlost prenosu. To by som musel hodit cele nastavenie nazad a porovnat.

Vo Firewall mam tie iste pravidla, co predtym. Takze tym to nebude.

[shiro]

Vedel by dakto pls napisat nejake dobre pravidla do fw na mikrotiku? mam tam len obecne nastavenie, z default konfigu.
nieco proti bordelu z netu, malwaru a tak, co pomoze. Dik.

[16cmfan]

V prvom rade printni co tam mas teraz

[shiro]

iba toto:

Kód: Vybrať všetko

 /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward

 1    ;;; Windows file sharing
      chain=forward action=accept protocol=tcp dst-port=445 log=no log-prefix=""

 2    ;;; NetBIOS UDP
      chain=forward action=accept protocol=udp dst-port=135-139 log=no log-prefix=""

 3    ;;; defconf: accept established,related
      chain=forward action=accept connection-state=established,related log=no log-prefix=""

 4    ;;; NetBIOS TCP
      chain=forward action=accept protocol=tcp dst-port=135-139 log=no log-prefix=""

 5    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

 6    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

 7    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gw log=no log-prefix=""

 8    chain=input action=accept protocol=icmp log=no log-prefix=""

 9    chain=input action=accept connection-state=established log=no log-prefix=""

10    chain=input action=accept connection-state=related log=no log-prefix=""

11    chain=input action=drop in-interface=ether1-gw log=no log-prefix=""

[16cmfan]

Mas verejku ?

[mp3turbo]

proti malware a bordelu nepomoze na mikrotiku vela - ked si ty na tvojom notebooku otvoris stranku www.getthebestmalwarehere.com tak ho proste dostanes a mikrotik ma s tym pramalo spolocne.

Voci malware, virusom a takymto veciam sa proste chrani inak ako cez Mikrotik. Ano, Mikrotik vie tomu pomoct ale slabo a to nie je problem Mikrotiku. Orat na Audi A8L 6.0i W12 sa tiez moc neda a to neznamena ze je to nahouby masina