社区讨论
我喜欢这篇文章如何将RoS版本6内核标记为古老的: -))
请版主/工作人员锁定此主题
完成了,我希望有人回复。
谢谢,在另一个线程中,你注意到使用两个原始规则来阻止私有ip泄漏进或流出路由器使用NAT时。 这是对bogon规则的一种替代还是一种补充?我已经使用了bogon规则,但更喜欢在ip路由中这样做-黑洞。
请解释一下,这样更换MTU是什么意思?最终(家庭)用户仍将是1500人。比如在服务器、NAS和交换机上安装9000,你通过它来做备份,我还是理解的。然后在所有设备上进行更改——我不明白这有什么意义。
谢谢,在另一个线程中,你注意到使用两个原始规则来阻止私有ip泄漏进或流出路由器使用NAT时。 这是对bogon规则的一种替代还是一种补充?我已经使用了bogon规则,但更喜欢在ip路由中这样做-黑洞。 我不记得你的意思了。黑洞路由会阻止去往未使用的RFC6890空间的数据包。RAW规则防止NAT相关的漏洞,如NAT滑流等,使用RAW。
对我来说似乎很简单..........这不是世界上最大的要求。
/ip route add distance=1 dst-address=10.0.0.0/8 type=不可达添加距离=1 dst-address=169.254.0.0/16 type=不可达添加距离=1 dst-address=172.16.0.0/12 type=不可达添加距离=1 dst-address=192.168.0.0/16 type=不可达
/ ip防火墙地址列表添加列表= unexpected-address-source-from-ISP地址= 10.0.0.0/8添加= unexpected-address-source-from-ISP地址= = unexpected-address-source-from-ISP 127.0.0.0/8添加列表地址= = unexpected-address-source-from-ISP 169.254.0.0/16添加列表地址= = unexpected-address-source-from-ISP 172.16.0.0/12添加列表地址= = unexpected-address-source-from-ISP地址= 192.0.2.0/24 192.0.0.0/24添加列表添加列表= unexpected-address-source-from-ISP地址= 192.88.99.0/24添加= = 192.168.0.0/16 unexpected-address-source-from-ISP地址添加列表= unexpected-address-source-from-ISP地址= = unexpected-address-source-from-ISP 198.18.0.0/15添加列表地址= = unexpected-address-source-from-ISP 198.51.100.0/24添加列表地址= = unexpected-address-source-from-ISP地址= 233.252.0.0/24 203.0.113.0/24添加列表添加列表= unexpected-address-source-from-ISP地址= 240.0.0.0/5添加= unexpected-address-source-from-ISP地址= 248.0.0.0/6添加add list=unexpected-address-source-from-ISP address=252.0.0.0/7 add list=unexpected-address-source-from-ISP address=254.0.0.0/8ip add list=unexpected-address-source-from-ISP address=pool.of.my.internal.public.ips add list=expected- address- dest -from- isp address=my.public.wan。ip添加列表= expected-adress-dst-from-ISP地址= = expected-adress-from-LAN地址= one.of.my.internal.public.ips pool.of.my.internal.public.ips添加列表添加列表= expected-adress-from-LAN地址= another.of.my.internal.public.ips添加= expected-adress-from-LAN地址= = expected-adress-from-LAN 192.168.88.0/24添加列表地址= 0.0.0.0评论=“当前网络“添加列表= expected-adress-from-LAN地址= 224.0.0.0/4评论= = expected-adress-from-LAN地址= 255.255.255.255多播添加列表add action=drop chain=prerouting in-interface=pppoe src-address-list=unexpected-address-source-from-ISP add action=drop chain=prerouting in-interface=pppoe st-address-list=!add action=drop chain=prerouting in-interface=bri-lan src-address-list=!expected-adress-from-LAN / ip路由添加距离= 1 dst-address = 10.0.0.0/8类型= 1 dst-address = =无法添加距离169.254.0.0/16类型= 1 dst-address = =无法添加距离172.16.0.0/12类型= 1 dst-address = =无法添加距离192.0.0.0/24类型= 1 dst-address = =无法添加距离192.0.2.0/24类型= 1 dst-address = =无法添加距离192.88.99.0/24类型= 1 dst-address = =无法添加距离192.168.0.0/16类型= 1 dst-address = =无法添加距离198.18.0.0/15 type =无法添加distance=1 dst-address=198.51.100.0/24 type=unreachable add distance=1 dst-address=203.0.113.0/24 type=unreachable add distance=1 dst-address=233.252.0.0/24 type=unreachable add distance=1 dst-address=240.0.0.0/5 type=unreachable add distance=1 dst-address=248.0.0.0/6 type=unreachable add distance=1 dst-address=252.0.0.0/7 type=unreachable add distance=1 dst-address=254.0.0.0/8 type=unreachable add distance=2 dst-address=my.unused.public.ip1 type=blackhole add distance=2 dst-address=my.unused.public.ip2 type=blackhole add distance=2 dst-address=my.unused.public.ip3 type=blackhole add distance=2 dst-address=my.unused.public.ip4 type=blackhole add distance=2 dst-address=my.unused.public.ip5 type=blackhole add distance=2 dst-address=my.unused.public.ip6 type=blackhole
你的路由器必须是一个非常强大的设备来检查所有这些规则或路由列表…这是阻塞硬件的最短路径。雷竞技官网网站下载没有更好的办法吗?
这白痴显然是在戏弄我们。
天哪,这真是太不可思议了!
谢谢!我一定会去看看的!
这里到底发生了什么?看起来像机器人什么的。
/ip firewall nat add action=netmap chain=dstnat comment="Port Forwarding Solution for CGNAT (TCP)" dst-address=103.176.189.0/25 dst-port=1024-65535 protocol= "Port Forwarding Solution for CGNAT (UDP)" dst-address=103.176.189.0/25 dst-port=1024-65535 protocol= UDP to addresses=100.64.0.0/10
我想就几个问题得到进一步的澄清 RP-Filtering。有人能解释一下,当表中存在默认路由时,松散模式与“none”有什么不同吗?据我所知,MikroTik在执行反向路径查雷竞技网站找时确实考虑了默认路由。因此,每个IP都是有效的,因此在我看来,除了运行完整BGP表和没有安装默认路由的路由器之外,在任何其他设备上都是完全没有意义的。我错过了什么? 我过去使用Netmap的方式是有效地重写IP范围的前3个字节,即100.70.5.77,我将重写为192.168.1.77,以便通过使用'100.70.5 '到达客户网络内的整个/24子网。x’而不是使用VPN或设置一堆端口转发(是的,显然是安全的,有适当的防火墙,不被互联网等允许)在文章中上述规则的情况下,我阅读它的方式是103.176.189。[0-127]将映射到100.64.0。[0-127]就是这样,很明显我错过了很多这张照片,我还没能在网上找到答案 我不明白规则是怎么运作的,怎么适用的。如果100.64.0.129(公网IP的netmap范围之外)走出互联网(我假设与src-nat规则),那么netmap规则如何适用于这里?我假设的意图是,即100.64.0.129进入互联网,srcnat规则选择了103.176.189.5,源端口为443,然后不知怎么的,这个netmap规则做了一个连接跟踪查找,看到端口443被映射到100.64.0.129,因此所有传入流量到103.176.189.5:443(忽略来自互联网的流量方向的源IP)被映射回103.176.189.5有效地设置动态端口转发,就像我手动创建该规则一样但这也提出了其他问题,如果这就是它的工作方式,并且IP映射有效地动态地在内存中创建,那么需要多长时间以及以什么标准创建?直到路由器重启吗?直到该端口上的所有连接都超时?我只是不明白这是怎么回事
您混淆了端口映射的工作原理。雷竞技网站MikroTik使用代码逻辑,如果100.64.0.10:1234流量进入出口NAT接口,src-nat链netmap动作将把100.64.0.10:1234映射到public:1234。这确保了1:1的端口映射,消除了TURN的需要。然而,对于其他功能,作者添加了dst-nat以允许public:1234返回100.64.0.10:1234 -这是如何工作的?你需要问一下MikroTik,因雷竞技网站为他们没有分享源代码。但这种实现并不是100%完美的,因为它并不总是映射到任何外部IP的dst-nat链上。这在全锥EIM NAT技术中得到了解决,该技术目前在MikroTik上被打破,因为它无法支持TCP,但该技术在Cisco和Juniper上100%有效。雷竞技网站
我明白这一点,但我不明白的是它在上面的例子中是如何工作的如果客户有一个永远不会改变的静态CGNAT地址,我可以理解,但我(可能错误地)假设情况并非如此,客户可以在100.64.0.0/10范围内拥有任何随机分配的地址,并且仍然以某种方式将内部端口转发给他们。最初的出站连接以某种方式建立了这种关系我仍然不明白这在原则上是如何工作的。你能举一些例子吗?例如,如果客户的CGNAT IP地址为100.64.0.129,超出了分配的128个公共IP地址,则netmap如何工作。我再次假设netmap进行1:1的地址转换,将特定范围映射到相同大小的另一个特定范围,那么当您有一个超出映射范围的内部IP时实际会发生什么?内部IP是否为所有入站会话占用全部公共IP,或者它是否被分割,端口443可能会到。129,但端口80会到另一个客户,即。77