vadimbn

up

Извиняюсь, у вас другая задача. По постановке задачи в заголовке можно было подумать, что внешнему интерфейсу присвоено несколько белых IP, и нужно пробросить порт только по одному из них. У вас же надо разрешить доступ к порту одному из адресов в интернете, здесь да, решается с помощью файрвола.

Ну да, каждый сходит с ума по своему. На самом деле все там прозрачно, если смотреть не в веб-интерфейс (где как раз ничего не прозрачно), а в файл конфигурации.

Не проще ли было бы сделать проброс не на интерфейс ISP, а именно на конкретный адрес этого интерфейса, командой ip static?

Что вы имеете в виду? То, что в Proposals?

Если нужна сеть за кинетиком, и если там при создании туннеля есть трансляция адресов - да. Для чего - у вас в политиках указаны конкретные сети, которые должны быть доступны с обеих сторон. А маскарадинг подменяет, маскирует внутреннюю сеть IP-адресом роутера. Поэтому сеть будет недоступна. IPsec-соединение там устанавливается автоматически. Например - На стороне микротика: /interface ipip add allow-fast-path=no comment="IPIP tunnel" ipsec-secret=secret_key keepalive=10s,3 local-address=1_Local_White_IP name=Name_of_interface remote-address=2_Remote_White_IP /ip address add address=172.16.1.2/30 comment="Address for Name_of_interface interface" interface=Name_of_interface network=172.16.1.0 На стороне кинетика как-то так: (config)> interface IPIP0 (config-if)> tunnel destination 1_Remote_White_IP (config-if)> ip address 172.16.1.1 255.255.255.252 (config-if)> ipsec preshared-key secret_key (config-if)> up (config-if)> exit (config)> no isolate-private secret_key должен быть и там, и там одинаковый. После этого у вас должен создаться ipip-туннель over ipsec. Появятся два интерфейса. На стороне mikrotik - Name_of_interface (может быть произвольным), на стороне Keenetic - IPIP0. Дальше можно прописать маршруты на обоих устройствах в удаленные сети через эти интерфейсы.

Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... И наверное вам будет таки проще настроить ipip over ipsec.

А как настраивали-то? Чистый туннель IPsec, или что-то over IPsec?

Так и надо писать прямо так, буквально как написано, "limit", словом. А не цифрами. Это все параметры и их значения команды iptables. Например --limit - это параметр. А параметра --40 там не существует. Читайте документацию по iptables.

Вы вот это где взяли? И чего хотите добиться?

Голосуйте в той теме, может быть прислушаются.

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

Вы сотовые телефоны тоже в фольгу на ночь заворачиваете? Или у вас их вообще нет? PS извиняюсь, вопрос скорее к ТС

GPON?

Я привел информацию из Wikipedia, она общедоступна, находится за пару секунд, для этого в любом поисковике надо просто ввести #!. Вот так. Каких именно? Написание скриптов - это слишком обширная тема, придется тратить много времени и приводить очень много ссылок. В Unix/Linux существует очень много разнообразных интерпретаторов, на языках которых можно писать скрипты. Это и разнообразные оболочки-shell (bash, sh, tcsh, ksh, zsh и другие), и интерпретируемые языки программирования (python, perl, php, ruby - это только самые известные из них). Скрипты на shell могут содержать много строк, часть из которых содержит команды самого shell, а часть - команды операционной системы Unix/Linux, которые всегда присутствуют в ней либо в виде сборки busybox (набор команд для встраиваемых систем, обычно это одна программа и куча символических ссылок на нее), либо в виде отдельных приложений. Можно писать интерактивные приложения, можно писать скрипты автозагрузки, скрипты для автоматизации вашей деятельности. Написание программ на скриптовых языках - это тема для многих и многих весьма объемных томов. Хотите найти как писать скрипты на bash - ну так и пишите в поисковике "bash скрипты". Скрипты для автозапуска демонов в системе могут писаться с использованием некоторых соглашений, проверок, переменных среды. При этом хорошо бы руководствоваться здравым смыслом. Если вам для запуска вашего приложения будет достаточно одной строки - путь/до/приложения/приложение -некие -параметры -приложения и оно не требует корректного завершения (то есть, например, не пишет информацию ни в какие файлы), то зачем городить огород? Достаточно будет этой одной строчки. Если нужны корректные start/stop скрипта - то для этого надо вводить проверки текущего состояния приложения. Лучше проанализировать как созданы уже имеющиеся скрипты, использовать их в качестве примеров. Без этих проверок ваши команды не имеют смысла, ваш скрипт содержит только одну строку для запуска приложения, которая всегда выполняется, независимо от параметров stop и start. Это и приводит к появлению ошибки Error: Address already in use так как приложение уже работает и занимает сокет.