Gem:
Позвонил только что www.yubico.ru, говорят что нет, не возобновили. По независящим от них причинам. Хотя последний вопрос я даже до конца задать не успел. Видимо, часто спрашивают.
То ли тёрки с таможней, то ль с самим юбико.
Gem:
Ну это ни о чём не говорит. Они могут набирать несколько потенциальных заказов, скопом закупать и потом уже связываться с потенциальными покупателями и продавать.
Написал на предоставленную почту, посмотрим что ответят.
Пол-года назад yubico.ru мне сказали, что не поставляют и пока не планируют.
На счёт воронежской конторы - может это как раз вышеотписавшийся Николай?:)
Вячеслав Николаев:
Абсолютно аналогичная ситуация с САПР софтом. И да, если дело сугубо в софте - вполне достаточно микротик использовать как сервер пересылки. Пока айпишники в этот софт не захардкодят - будет работать. =)
Alex_Buzz:
Тогдла, опять же, бэкап конфигов, сносите все правила фильтра и настраиваете только его. Можно по этому скрипту, но разбирая каждую его строчку.
Наиболее вероятно, что бОльшая его часть вам просто не нужна, но в любом случае полезно.
//я, в частности, вынес для себя тот факт, что при большом количестве правил использование jump-target дико удобно :)
Alex_Buzz:
Всё не так страшно и не так сложно, как кажется на первый взгляд - сам всё это года три назад всего проходил :) Тогда доков по тикам было значительно меньше в рунете.
Alex_Buzz:
В скрипте есть много больше, чем Вы указали в первом комментарии.
На счёт вопроса - я бы на вашем месте забэкапил конфиги, грохнул их, и настроил с нуля, разбераяя по пунктам pptp, nat и firewall.
На игры в угадайку мы больше времени можем потратить :)
Alex_Buzz:
Гугл -> мануал по iptables
+ https://habrahabr.ru/post/188718/
QoS Вам пока не нужен, но в статье подробно разжёвано как что куда и откуда ходит внутри микротика.
А пока попробуйте временно отключить
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
А лучше дайте ссылку на скрипт... может он помимо фильтра ещё и в мангл лезет...
Alex_Buzz:
Вот вижу я в приведённом листинге правил фаервола последнее правило, дропающее все <прочие> входящие подключения, но не вижу перед ним что-либо, разрешающее входящий icmp
Вячеслав Николаев: кстати на счёт 53 udp - если по вышеописанной схеме днс на AD DC и в качестве сервера пересылки, то на форвард udp 53 открывать не нужно - только на output. И редиректить ничего не обязательно.
Вячеслав Николаев:
Зависит от степени использованияф интеренета в вашем офисе.
В простейшем случае открыть в chain=forward и out-interface=wan tcp 80, 443, udp 53, 123, + почту остальное в reject
Вячеслав Николаев:
Проще покопаться в gpo и найти способ запретить устанавливать все браузеры подряд. Посадить всех на хром, например. А хром, на сколько я знаю, можно жёстко залочить на установку всяких там плагинов и прочей ереси.
На крайняк, если уж совсем критично - IE и белые списки софта.
