НОВАЯ ВЕРСИЯ ROUTEROS 7.9.1 STABLE

Слово fixed встречается.. Ну это как посмотреть:
Вариант № 1: всего один раз.
Вариант № 2: в 100 % изменений.

ipv6 - fixed DNS server processing by IPv6/ND services (CVE-2023-32154);

ПОЛНОЕ ОПИСАНИЕ ВСЕХ ИЗМЕНЕНИЙ В ROUTEROS 7.9 И 7.9.1

Иногда можно встретить утверждение, что протокол UDP работает только на транспортном уровне модели OSI, а протокол TCP работает и на транспортном, и на сеансовом уровне модели OSI, т.к. TCP, в отличии от UDP, устанавливает соединение (сеанс связи).

Пишите в комментариях встречали ли вы такое утверждение.

УГЛУБЛЕННЫЙ КУРС ПО АДМИНИСТРИРОВАНИЮ СЕТЕВЫХ УСТРОЙСТВ MIKROTIK

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

TELEGRAM-КАНАЛ "СЕТЕВОЙ АРХИТЕКТОР"

Всем доброго дня!
В последнее время у меня был ряд постов не по MikroTik, а по общему устройству компьютерных сетей. Мне показалось, что эта тема "зашла", и поэтому я решил завести отдельный канал, на котором я буду рассказывать об устройстве компьютерных сетей без привязки к какому-либо производителю.

Вопрос: а зачем нужен отдельный канал?
Ответ: потому что есть множество людей, которым интересны сетевые технологии, но не интересно оборудование MikroTik.

Подписывайтесь на канал "Сетевой архитектор"

УГЛУБЛЕННЫЙ КУРС ПО АДМИНИСТРИРОВАНИЮ СЕТЕВЫХ УСТРОЙСТВ MIKROTIK

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

РАБОТАЕТ ЛИ ПРОТОКОЛ TCP НА ТРАНСПОРТНОМ УРОВНЕ МОДЕЛИ OSI?

Недавно я размещал опрос на тему справедливости утверждения, что протокол TCP работает не только на транспортном уровне модели OSI, но еще и на сеансовом. В обоснование этого утверждения приводится довод о том, что TCP устанавливает сеанс связи, а UDP − нет. И поэтому TCP работает также и на сеансовом уровне, в отличие от UDP.

Ответ на этот вопрос с его обоснованием я разместил на канале "Сетевой архитектор".

УГЛУБЛЕННЫЙ КУРС ПО АДМИНИСТРИРОВАНИЮ СЕТЕВЫХ УСТРОЙСТВ MIKROTIK

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

БЕСПЛАТНЫЙ ДОСТУП К СОРОКА УРОКАМ КУРСА "АРХИТЕКТУРА СОВРЕМЕННЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ"

Я выложил в открытый доступ сорок уроков курса "Архитектура современных компьютерных сетей". Есть два варианта:

1️⃣ Если у вас нет доступа в личный кабинет https://kursy-po-it.online, то на YouTube можно изучить бесплатно сорок уроков курса. И помимо этого, в комментариях к урокам есть ссылка, по которой можно получить доступ к другим урокам, отсутствующим в открытом доступе.

2️⃣ Если у вас есть доступ в личный кабинет https://kursy-po-it.online, то здесь вы можете самостоятельно зарегистрироваться на курс "Архитектура современных компьютерных сетей (демо-версия)". Разница с вариантом № 1 в том, что в ЛК вы дополнительно сможете закрепить знания с помощью тестов.

УГЛУБЛЕННЫЙ КУРС ПО АДМИНИСТРИРОВАНИЮ СЕТЕВЫХ УСТРОЙСТВ MIKROTIK

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

ВЫШЛА ROUTEROS 7.9.2

Изменения минимальны. Подробнее здесь: https://mikrotik.wiki/wiki/MikroTik_RouterOS_7.9.x_(stable)#MikroTik_RouterOS_7.9.2

ДЕЙСТВИЕ, КОТОРОЕ МАСКИРУЕТСЯ ПОД УСЛОВИЕ

В настройках правил свитч-чипа (Switch - Rule) есть две вкладки: Match (условие) и Action (действие). Если выполнены все условия с вкладки Match, то будет выполнено действие, которое указано на вкладке Action.

Но тут есть важный нюанс. Параметр Rate с вкладки Match, который, по логике, должен быть условием, на самом деле является действием. Поэтому будьте осторожны. С помощью этого параметра выполняется ограничение скорости входящего трафика. Единица измерения − бит/с. Параметр учитывается только на CRS5XX, CRS3XX, а также на свитч-чипах Atheros 8327 и QCA 8337, но на последних двух − только если правило является одним из первых 32 правил.

P. S. Выше прикреплен скриншот.

📇Пишите в комментариях, приходилось ли вам сталкиваться с этим параметром.

УГЛУБЛЕННЫЙ КУРС ПО АДМИНИСТРИРОВАНИЮ СЕТЕВЫХ УСТРОЙСТВ MIKROTIK

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

=====
Комментарии пишите не в чате @kursy_po_it, а в комментариях к посту на канале @mikrotik_sensei. Это поможет избежать путаницы и гарантирует, что ваше сообщение будет отнесено туда, куда и следует.

УТИЛИТА TRAFFIC GENERATOR

В разделе Tools можно найти утилиту Traffic Generator. Это очень полезный инструмент, с помощью которого можно генерировать кадры с определенным содержанием (MAC-адрес отправителя и получателя, IP-адрес отправителя и получателя и т. д.).

Отдельно отмечу, что у утилиты Traffic Generator есть ряд принципиальных отличий от утилиты Bandwidth Test:
1️⃣ Широкий набор значений заголовков, а не только IP-адрес отправителя, IP-адрес получателя и протокол.
2️⃣ Возможность отправлять данные, даже если получатель недоступен. Или можно постоянным потоком отправлять данные на широковещательные адреса.
3️⃣ Прочие "плюшки".

Отдельно остановлюсь на втором пункте. Отправку данных, когда получатель недоступен, или отправку данных на широковещательный адрес на практике я использую при трассировке коммутируемого трафика. Я не ошибся: именно при трассировке коммутируемого трафика. Ее можно делать, хотя это и не так очевидно.

Как можно делать трассировку коммутируемого трафика, я в будущем планирую рассказать на канале "Сетевой архитектор", т.к. эта тема не привязана к конкретному оборудованию. Так что подписывайтесь на канал, если хотите узнать, как ее можно делать.

УГЛУБЛЕННЫЙ КУРС ПО АДМИНИСТРИРОВАНИЮ СЕТЕВЫХ УСТРОЙСТВ MIKROTIK

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

ДЕЙСТВИЯ В ПРАВИЛАХ СВИТЧ-ЧИПА

Действия в правилах свитч-чипа (Switch - Rule) очень хитрые. Например, можно применять одновременно несколько действий, если они не противоречат друг другу. Но так я делать не рекомендую, т.к. много исключений и т.д.

Поговорим о классических действиях: разрешение и запрет. Мы привыкли, что это accept или drop. Но в правилах свитч-чипа вы не сможете найти этих слов.

Если надо указать разрешение, то для этого вообще не нужно указывать действие. Если никакое действие не будет указано, то это будет считаться разрешающим действием.

Если надо указать запрет, то надо выполнить отправку трафика на, скажем так, "никакой порт", т.е. сделать так: new-dst-ports="".

📇Пишите в комментариях, приходилось ли вам сталкиваться с правилами свитч-чипа в разрезе разрешения или запрета прохождения кадров.

УГЛУБЛЕННЫЙ КУРС ПО АДМИНИСТРИРОВАНИЮ СЕТЕВЫХ УСТРОЙСТВ MIKROTIK

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

=====
Комментарии пишите не в чате @kursy_po_it, а в комментариях к посту на канале @mikrotik_sensei. Это поможет избежать путаницы и гарантирует, что ваше сообщение будет отнесено туда, куда и следует.

НОВАЯ ВЕРСИЯ ROUTEROS 7.10 STABLE

Вышла RouterOS 7.10

Слово fixed встречается 51 раз.

Список изменений: https://mikrotik.wiki/wiki/MikroTik_RouterOS_7.10.x_(stable)

ПАРАМЕТР USE IP FIREWALL. ЧАСТЬ 1

Развею мифы, связанные с параметром Use IP Firewall. Настройка находится в Bridge – вкладка Bridge – кнопка Settings. При активации настройки коммутируемый трафик дополнительно проходит через IP Firewall. Обратите внимание, что IP Firewall является вышестоящим разделом для IP Firewall Filter, IP Firewall Mangle и других элементов. Вот через эти подчиненные элементы и начинает проходить трафик.

Нюансы использования настройки:
*️⃣ Применяется для всех bridge-интерфейсов.
*️⃣ Учитывается только при использовании программной коммутации.
*️⃣ Значительно увеличивает нагрузку на процессор при обработке коммутируемого трафика.

Параметр рекомендуется использовать, только когда требуется функционал, который есть в IP Firewall, но его нет в Bridge Filter или в Bridge NAT. Такие ситуации возникают очень редко. Например, однажды ко мне обратились с проблемой, что кто-то пытается взломать сервер перебором паролей, а доступа по RDP извне нет. В итоге выяснилось, что попытка взлома осуществлялась из локальной сети. Попытки были периодическими, и мне надо было отловить устройство из локальной сети и поместить его в адресный список. А эта возможность отсутствует в Bridge Filter или в Bridge NAT. Поэтому временно мне пришлось задействовать Use IP Firewall.

📇Пишите в комментариях, приходилось ли вам пользоваться настройкой Use IP Firewall.

УГЛУБЛЕННЫЙ КУРС ПО АДМИНИСТРИРОВАНИЮ СЕТЕВЫХ УСТРОЙСТВ MIKROTIK

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

=====
Комментарии пишите не в чате @kursy_po_it, а в комментариях к посту на канале @mikrotik_sensei. Это поможет избежать путаницы и гарантирует, что ваше сообщение будет отнесено туда, куда и следует.

НОВАЯ ВЕРСИЯ ROUTEROS 7.10.1 STABLE

Вышла RouterOS 7.10.1

Список изменений: https://mikrotik.wiki/wiki/MikroTik_RouterOS_7.10.x_(stable)#MikroTik_RouterOS_7.10.1

ПАРАМЕТР USE IP FIREWALL. ЧАСТЬ 2

В этом посте я сравню возможности Bridge Filter и Bridge NAT с возможностями IP Firewall Filter и IP Firewall NAT.

Условия IP Firewall на вкладке General, которых нет в Bridge Filter и Bridge NAT:
* Connection Mark
* Routing Mark
* Routing Table
* Connection Type
* Connection State
* Connection NAT State

Условия IP Firewall на вкладке Advanced, которых нет в Bridge Filter и Bridge NAT:
* Src. Address List
* Dst. Address List
* Layer7 Protocol
* Content
* Connection Bytes
* Connection Rate
* Per Connection Classifier
* IPSec Policy
* TLS Host
* Priority
* DSCP (TOS)
* TCP MSS
* Packet Size
* Random
* TCP Flags
* ICMP Options

Условия IP Firewall на вкладке Advanced для bridge-трафика с use-ip-firewall=yes:
* In. Bridge Port
* Out. Bridge Port
* In. Bridge Port List
* Out. Bridge Port List

Условия IP Firewall на вкладке Extra, которых нет в Bridge Filter и Bridge NAT:
* Connection Limit
* Dst. Limit
* Nth
* Src. Address Type
* Dst. Address Type
* PSD
* Hotspot
* IP Fragment

Действия IP Firewall Filter, схожие с Bridge: Filter:
* Drop
* Jump
* Log
* Passthrough
* Return

Действия IP Firewall Filter, отличные от Bridge Filter:
* Add src to address list
* Add dst to address list
* Fasttrack connection
* Reject
* Tarpit

Действия IP Firewall NAT, схожие с Bridge: Filter:
* Accept
* Jump
* Log
* Masquerade
* Netmap
* Return
* Same

Действия IP Firewall NAT, отличные от Bridge Filter:
* Add dst to address list
* Add src to address list
* Dst-nat (IP)
* Redirect (IP)
* Src-nat (IP)

Действия IP Firewall Mangle, схожие с Bridge NAT:
* Accept
* Jump
* Log
* Mark Packet
* Passthrough
* Return

Действия IP Firewall Mangle, отличные от Bridge NAT:
* Add dst to address list
* Add src to address list
* Change DSCP (TOS)
* Change MSS
* Change TTL
* Clear DF
* Fasttrack connection
* Mark connection
* Mark routing
* Route
* Set priority
* Sniff PC
* Sniff TZSP
* Strip IPv4 options

УГЛУБЛЕННЫЙ КУРС ПО АДМИНИСТРИРОВАНИЮ СЕТЕВЫХ УСТРОЙСТВ MIKROTIK

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

ВЫБОР СПОСОБА АГРЕГАЦИИ КАНАЛОВ

Не существует самого правильного способа агрегации каналов на MikroTik. В зависимости от конкретной ситуации и имеющегося оборудования наиболее подходящий способ агрегации может изменяться. Выше приведен слайд из моего курса по коммутации на MikroTik. по нему можно оценить возможности разных способов агрегации.

📇Пишите в комментариях, какой способ агрегации вы используете (если используете) и почему именно его.

УГЛУБЛЕННЫЙ КУРС ПО АДМИНИСТРИРОВАНИЮ СЕТЕВЫХ УСТРОЙСТВ MIKROTIK

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

=====
Комментарии пишите не в чате @kursy_po_it, а в комментариях к посту на канале @mikrotik_sensei. Это поможет избежать путаницы и гарантирует, что ваше сообщение будет отнесено туда, куда и следует.

НОВАЯ ВЕРСИЯ ROUTEROS 7.10.2 STABLE

Вышла RouterOS 7.10.2

Список изменений: https://mikrotik.wiki/wiki/MikroTik_RouterOS_7.10.x_(stable)#MikroTik_RouterOS_7.10.2

ОБНОВЛЕНИЕ ROUTEROS V6 LONG-TERM

На прошлой неделю вышло обновление RouterOS v6 в ветке Long-term. Последнее обновление RouterOS v6 в этой ветке было 3 декабря 2021.

Список изменений: https://mikrotik.wiki/wiki/MikroTik_RouterOS_6.49.x_(Long-term)