[проброс порта только для одного внешнего IP]

Извиняюсь, у вас другая задача. По постановке задачи в заголовке можно было подумать, что внешнему интерфейсу присвоено несколько белых IP, и нужно пробросить порт только по одному из них. У вас же надо разрешить доступ к порту одному из адресов в интернете, здесь да, решается с помощью файрвола.

[проброс порта только для одного внешнего IP]

Ну да, каждый сходит с ума по своему.

На самом деле все там прозрачно, если смотреть не в веб-интерфейс (где как раз ничего не прозрачно), а в файл конфигурации.

[проброс порта только для одного внешнего IP]

Не проще ли было бы сделать проброс не на интерфейс ISP, а именно на конкретный адрес этого интерфейса, командой ip static?

[Настройка IPsec для NDMS]

1 час назад, Mixin сказал:

прилагаются свои настройки безопасности

Что вы имеете в виду? То, что в Proposals?

[Настройка IPsec для NDMS]

1 час назад, Mixin сказал:

А кинетику такое не надо?

Если нужна сеть за кинетиком, и если там при создании туннеля есть трансляция адресов - да. Для чего - у вас в политиках указаны конкретные сети, которые должны быть доступны с обеих сторон. А маскарадинг подменяет, маскирует внутреннюю сеть IP-адресом роутера. Поэтому сеть будет недоступна.

 

1 час назад, Mixin сказал:

Планирую eoip создать в итоге, но пока не понимаю, как его создать со своими настройками безопасности и через уже созданный ipsec.

IPsec-соединение там устанавливается автоматически. Например -

На стороне микротика:

/interface ipip add allow-fast-path=no comment="IPIP tunnel" ipsec-secret=secret_key keepalive=10s,3 local-address=1_Local_White_IP name=Name_of_interface remote-address=2_Remote_White_IP
/ip address add address=172.16.1.2/30 comment="Address for Name_of_interface interface" interface=Name_of_interface network=172.16.1.0

На стороне кинетика как-то так:

(config)> interface IPIP0
(config-if)> tunnel destination 1_Remote_White_IP
(config-if)> ip address 172.16.1.1 255.255.255.252
(config-if)> ipsec preshared-key secret_key
(config-if)> up
(config-if)> exit
(config)> no isolate-private

secret_key должен быть и там, и там одинаковый. После этого у вас должен создаться ipip-туннель over ipsec. Появятся два интерфейса. На стороне mikrotik - Name_of_interface (может быть произвольным), на стороне Keenetic - IPIP0.

Дальше можно прописать маршруты на обоих устройствах в удаленные сети через эти интерфейсы.

[Настройка IPsec для NDMS]

10 часов назад, Mixin сказал:

Чистый IPsec

Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... И наверное вам будет таки проще настроить ipip over ipsec.

[Настройка IPsec для NDMS]

8 часов назад, Mixin сказал:

Пытаюсь настроить IPsec между Mikrotik hEX S и Keenetic Ultra II.

А как настраивали-то? Чистый туннель IPsec, или что-то over IPsec?

[DDos блокировка]

4 часа назад, VirtuoozX сказал:

Пример хочу защитить ICMP надо же ограничить по лимиту же?

Так и надо писать прямо так, буквально как написано, "limit", словом. А не цифрами. Это все параметры и их значения команды iptables. Например --limit - это параметр. А параметра --40 там не существует. Читайте документацию по iptables.

[DDos блокировка]

4 часа назад, VirtuoozX сказал:

iptables -A INPUT -p icmp --icmp-type echo-request -m 30 --40 1/s -j ACCEPT

Вы вот это где взяли? И чего хотите добиться?

[DDos блокировка]

1 час назад, VirtuoozX сказал:

Или требовать функцию

Голосуйте в той теме, может быть прислушаются.

[DDos блокировка]

5 часов назад, VirtuoozX сказал:

Так вот как можно сделать чтобы автоматически банило Те адреса флудеров без моей помощи когда меня нету дома.

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

[Расписание на роутере]

30 минут назад, r13 сказал:

Чтоб на ночь шапочку из фольги снимать

Вы сотовые телефоны тоже в фольгу на ночь заворачиваете? Или у вас их вообще нет?

PS извиняюсь, вопрос скорее к ТС

[Все о туннелях IPIP, GRE и EoIP]

9 часов назад, utya сказал:

а один из них на ростелекоме

GPON?

[Как запустить, остановить и добавить в автозагрузку пакет OpenWRT ?]

5 минут назад, iFinder сказал:

Это для Вас элементарные вопросы. А для меня совсем наоборот, т.к. никогда до этого не сталкивался с Linux.

Я привел информацию из Wikipedia, она общедоступна, находится за пару секунд, для этого в любом поисковике надо просто ввести #!. Вот так.

11 минуту назад, iFinder сказал:

дать ссылки на статьи по написанию скриптов

Каких именно? Написание скриптов - это слишком обширная тема, придется тратить много времени и приводить очень много ссылок. В Unix/Linux существует очень много разнообразных интерпретаторов, на языках которых можно писать скрипты. Это и разнообразные оболочки-shell (bash, sh, tcsh, ksh, zsh и другие), и интерпретируемые языки программирования (python, perl, php, ruby - это только самые известные из них). Скрипты на shell могут содержать много строк, часть из которых содержит команды самого shell, а часть - команды операционной системы Unix/Linux, которые всегда присутствуют в ней либо в виде сборки busybox (набор команд для встраиваемых систем, обычно это одна программа и куча символических ссылок на нее),  либо в виде отдельных приложений. Можно писать интерактивные приложения, можно писать скрипты автозагрузки, скрипты для автоматизации вашей деятельности. Написание программ на скриптовых языках - это тема для многих и многих весьма объемных томов. Хотите найти как писать скрипты на bash - ну так и пишите в поисковике "bash скрипты".

Скрипты для автозапуска демонов в системе могут писаться с использованием некоторых соглашений, проверок, переменных среды. При этом хорошо бы руководствоваться здравым смыслом. Если вам для запуска вашего приложения будет достаточно одной строки -

путь/до/приложения/приложение -некие -параметры -приложения

и оно не требует корректного завершения (то есть, например, не пишет информацию ни в какие файлы), то зачем городить огород? Достаточно будет этой одной строчки. Если нужны корректные start/stop скрипта - то для этого надо вводить проверки текущего состояния приложения. Лучше проанализировать как созданы уже имеющиеся скрипты, использовать их в качестве примеров.

Без этих проверок ваши команды

11 час назад, iFinder сказал:

Команды:

/opt/etc/init.d/S10_mosquitto start

/opt/etc/init.d/S10_mosquitto stop

не имеют смысла, ваш скрипт содержит только одну строку для запуска приложения, которая всегда выполняется, независимо от параметров stop и start. Это и приводит к появлению ошибки

Error: Address already in use

так как приложение уже работает и занимает сокет.

[Как запустить, остановить и добавить в автозагрузку пакет OpenWRT ?]

11 час назад, iFinder сказал:

Но что в таком случае делать с другими строками ?

Например этими:

#!/bin/sh
PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin

#! - после этого так называемого шебанга ставится программа-интерпретатор скрипта. Скрипт может быть написан на bash, тогда строка примет вид

#!/bin/bash

или на perl, тогда строка будет такой

#!/usr/bin/perl

Иными словами, если у скрипта есть права на запуск, то при его запуске загрузчик анализирует эту строку и передает скрипт на исполнение интерпретатору, указанному в этой строке.

Строка

PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin

инициирует переменную окружения PATH для этого скрипта. Эта переменная есть и в Windows, если вы давно пользуетесь этой системой, то могли сталкиваться с ней. Эта переменная описывает пути, где нужно искать исполняемые файлы - программы и скрипты. Эта информация есть в общем доступе и легко находится поиском. Наличие высшего образования подразумевает умение самостоятельного поиска информации, умение ее анализировать, выявление ложной информации, поиск первоисточников. Таким образом, если у вас есть высшее образование, и вы задаете подобные элементарные вопросы, это вполне можно расценить как попытку троллинга.

[SNMP мониторинг]

3 часа назад, indus сказал:

Y - Load average CPU

У вас над графиком написано "CPU Load Percent", а под ним - единицы "(%) CPU Load".

[SNMP мониторинг]

5 часов назад, indus сказал:

что так загружает проц

Как загружает? У вас ось Y - это загрузка процессора в процентах. То есть, судя по графику, загрузка процессора составляет всего 0,5%.

[★Полная установка entware-3x совместно с Debian 8, и настройка всей системы★]

1 минуту назад, Renat Bogdanov сказал:

чтобы их строки активировать, мне нужно понимать что это строка будет делать

Конечно. Активируйте только те, которые вам нужны. Если строка закомментирована, работает значение по умолчанию, как правило оптимальное.

[★Полная установка entware-3x совместно с Debian 8, и настройка всей системы★]

32 минуты назад, Renat Bogdanov сказал:

Получается решетку нужно удалять в конфиг файле, чтобы я смог выставить нужный порт?

Решетка делает строку конфига комментарием. Естественно, чтобы эта строка работала, символ комментирования надо удалить в ее начале, это касается и любых других строк в конфиге.

[Очень медленно работает интернет через squid]

1 минуту назад, Александр Сухоруков сказал:

Может все таки тупит и у вас?

Нет. Можете показать скриншот настройки прокси в браузере?

[Очень медленно работает интернет через squid]

20 минут назад, Александр Сухоруков сказал:

Может какой-то strace подсмотреть?

Strace хорош, когда приложение крэшится, падает. Он может помочь понять причину падения, например показать, что нехватает какой-либо библиотеки, либо она есть, но находится в другой директории, возможные неправильные права на файлы и каталоги, к которым обращается приложение, и так далее. Использовать его просто - после команды strace пишете имя программы или скрипта запуска, stracе построчно будет показывать этапы загрузки этой программы. Вам strace вряд ли поможет, сквид у вас запускается (это можно увидеть программой ps), и слушает заданный вами порт (это можно увидеть программой netstat)  Вы вот на что обратите внимание - какие протоколы (http, https) не работают в сквиде, какие настройки прокси-сервера вы сделали в вашем браузере.

[Очень медленно работает интернет через squid]

Лично у меня этот squid заработал нормально, после указания порта, на котором слушать запросы. Единственно что - по умолчанию он не видит файл /opt/etc/squid/mime.conf - поэтому делаем или chmod 644 /opt/etc/squid/mime.conf, либо chown nobody /opt/etc/squid/mime.conf . Да, и с первого раза он не останавливается, надо два раза запустить скрипт /opt/etc/init.d/S22squid с параметром stop.

[Очень медленно работает интернет через squid]

16 минут назад, Александр Сухоруков сказал:

В конфиге нет банального указания на каком порту squid'у слушать, что уж говорить.

Естественно нет, порт каждый устанавливает сам, по своему усмотрению, порт по умолчанию может быть использован другими приложениями.

17 минут назад, Александр Сухоруков сказал:

Зачем пишете сюда и отнимаете мое время?

Вы вообще хотите настроить сквид, или нет? Почему игнорируете мои вопросы? Диапазон вашей локальной сети действительно 192.168.0.0/24?

19 минут назад, Александр Сухоруков сказал:

Вы сами то знакомы со сквидов?

Я больше полутора десятков лет администрирую Linux-серверы, в том числе настраивал и Squid. Умерьте пыл, с отвечайте на вопросы, если хотите помощи.

[Очень медленно работает интернет через squid]

49 минут назад, Александр Сухоруков сказал:

Не давайте вопрос кому нужен оставим в стороне.

Я к тому, что он вам нужен, вы и читайте документацию и ищите в интернете примеры настройки. Пакеты во всех дистрибутивах обычно поставляются с настройками по умолчанию, коль скоро вы взялись это установить - вам это и настраивать под ваши условия.

Сеть дома у вас 192.168.0.0/24?

54 минуты назад, Александр Сухоруков сказал:

#http_access deny all

Если вы комментируете какие-то настройки, то применяются настройки по умолчанию, они далеко не всегда оптимальны.

Если прописано

 

56 минут назад, Александр Сухоруков сказал:

acl localnet src 192.168.0.0/24

то должно быть так -

http_access allow localnet
http_access deny all

 

[Очень медленно работает интернет через squid]

4 минуты назад, Александр Сухоруков сказал:

мне кажется быстрее вам будет проверить самому, если есть такая возможность

Ну это... Кому нужен прокси? Мне вроде нет, я и без него справляюсь. Давайте конфиг. И еще - вам принципиально ставить именно squid? Это сложная система, ее надо настраивать, что довольно-таки нетривиально.