eNose,

А может быть проблема в том, что я обновлял прошивку на микротике и в новой прошивке правила стали работать по другому?

bga83ViohinoneNose,

А может быть проблема в том, что я обновлял прошивку на микротике и в новой прошивке правила стали работать по другому?а может все-таки запустить сниффер и посмотреть где именно проблема происходит?

А как понять, где проблема? Данные я получил и открыл, но вот читать этот лог... На что обратить внимание? (Фрагмент)

eNoseViohinon,

про недоступность удаленного порта кто кричит - микротик?

Это сниф с микротика, да. Но что интересно, адрес 5.139.236.196 - это Ростелеком с какого-то удаленного от меня города. И что он от меня хочет непонятно. У меня совсем другой провайдер.

bga8

Интересно. Подскажете, как найти с какого хоста идет запрос туда?

Ребята! Ну это какой-то бред! Я восстанавливаю старую конфигурацию. Там есть настройки со старыми портами. Проверяю доступность - открыты. Ставлю новые порты - открываются примерно на минуту и закрываются. Ставлю опять старые порты - тоже закрыты. Причем я просто поменял порты!

eNose,



0 ;;; Allow incoming established connections
chain=input action=accept connection-state=established log=no log-prefix=""

1 ;;; Allow incoming related connections
chain=input action=accept connection-state=related log=no log-prefix=""

2 ;;; Allow incoming ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""

3 X ;;; Allow incoming PPTP
chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""

4 ;;; Allow incoming GRE (for PPTP)
chain=input action=accept protocol=gre log=no log-prefix=""

5 X ;;; Allow incoming SSH via Azimut
chain=input action=accept protocol=tcp dst-address=100.100.100.100 in-interface=l2tp-client dst-port=4589 log=no log-prefix=""

6 X ;;; Allow incoming WinBox via Azimut
chain=input action=accept protocol=tcp dst-address=95.129.56.200 in-interface=l2tp-client dst-port=8291 log=no log-prefix=""

7 X ;;; Allow incoming HTTP via Azimut
chain=input action=accept protocol=tcp dst-address=95.129.56.200 in-interface=l2tp-client dst-port=80 log=no log-prefix=""

8 ;;; IP addresses for UISCom telephony
chain=input action=accept src-address=1.1.1.0/27 log=no log-prefix=""

9 ;;; Allow all from LAN to any
chain=forward action=accept src-address=192.168.0.0/23 dst-address=0.0.0.0/0 in-interface=bridge-LAN log=no log-prefix=""

10 ;;; Allow all from VLAN to any
chain=forward action=accept src-address=192.168.100.0/24 dst-address=0.0.0.0/0 in-interface=bridge_vlan100 log=no log-prefix=""

11 ;;; Allow all from LAN to me
chain=input action=accept src-address=192.168.0.0/23 dst-address=192.168.1.1 in-interface=bridge-LAN log=no log-prefix=""

12 ;;; Allow all from any to LAN
chain=forward action=accept src-address=0.0.0.0/0 dst-address=192.168.0.0/23 out-interface=bridge-LAN log=no log-prefix=""

13 ;;; Allow all from any to VLAN
chain=forward action=accept src-address=0.0.0.0/0 dst-address=192.168.100.0/24 out-interface=bridge_vlan100 log=no log-prefix=""

14 ;;; Allow all outgoing traffic
chain=output action=accept log=no log-prefix=""

15 ;;; Drop anything not explicitly allowed
chain=input action=drop log=no log-prefix=""

16 ;;; Drop anything not explicitly allowed
chain=forward action=drop log=no log-prefix=""

Где: 192.168.1.1 - шлюз, 100.100.100.100 - внешний ip, 1.1.1.0/27 - на телефонию (хотя это правило вообще убрать надо, по другому все давно работает)

Паранойя до добра не доводит. )

eNose,

eNose,

eNose,

Почему вы решили, что не работает?

eNose,

Трафик не постоянный, но цифры нет-нет да меняются.