не не не. я не про то. это все расчудесно. но вмварь славится своей дружелюбностью. благодаря такой дружелюбности я уже уйму лет играю в квест. я думал ... что возможно ... я что-то пропустил и в природе есть выхлоп команды попроще. или сортировка есть. или в выхлопе ЕСТЬ ЛОГИКА!!!! ну ведь бывает так. что мы что-то откладываем на "завтра". и вот наступило завтра и я обратился к знающим людям с вопросом.
вопрос в том почему второе правило умудряется чтото обрабатывать. если первое правило выше приоритетом и относится к тому же трафику! до него вообще ничего не должно доходить.
один мой знакомый извращенец отладил управление системой через картинку!!! которую сервер скачивает с интервалом в минуту с заданного урла. картинка запакована в архив. результат выполнения команд тоже отправляется как картинка. и тоже упаковывается в архив. у него просто уже сервак лет 10 как в строю. и ему тупо скучно. домашний сервак у него в чайнике. в чайнике даже воду при этом можно кипятить!!! я смотрю вы только начинаете таким увлекаться. главное помнить правило. нужно уметь вовремя остановиться!
может я просто спал на уроках. но выставление на любом следом идущем правиле connection-state="" .. вне зависимости от входящие или исходящие пакеты ... главное чтобы правила относилось к одному логическому объекту ... приводит к странной активности по этому правилу. образец выше
Кирилл Васильев: Правила идут друг за другом. нет не ссылается. логирование ставил. типичная сетевая активность. подобное же правило дублирующим весит на wireless и при этом является дублирующим для chain=input action=accept. но с connection-state="" . и один черт по нему щелкает что-то. то есть в данном случае даже сам этот флаг меняет логику обработки пакетов. и я не могу понять в чем она заключается.
это то что падает в логи с action=accept. но с connection-state="" с вафли. по первому правилу получается идет типичная вайфай активность.
ну тогда вам в помощь спец оборудование. будете как шпион ползать на брюхе. изучать силу сигнала источника. возьмёте пару братков для того чтоб пресануть нарушителя. засунете ему его карточку в одно место.
1. обновить керио. в 9ке появился встроенный радиус сервер
2. свалить на другую шлюзовую плаформу. к примеру микротик. по стоимости выйдет гораздо дешевле. но без антивиря.
3. поднять радиус сервер на сторонней платформе. на точке активировать WPA/WPA2 - Enterprise и завернуть ее на сервер с радиусом
ну а потом выписывать логин-пароль для каждого юзверя
а нету способа теми методами которые вы используете. врубаете радиус сервер. каждому индивиду выписываете пару логин-пароль. облажавшихся оставляете без инета. можно еще acl задействовать. но это мало поможет от умных людей.
Дмитрий Шицков: пакеты не коим образом не отличающиеся от всех остальных. все подряд. конечно соотношение трафика есть .. если по первому правилу 8 гигов. то по второму 30 мегов.
Не нужно изобретать велосипед. До вас все изобрели. Статья выше описывает стандартный подход. В винде есть понятие DHCP Failover Load Balance Mode (Режимы отработки отказа DHCP). https://technet.microsoft.com/ru-ru/library/dn3389... Не знаю как дела обстоят в линуксе.
Задержка месячных бывает. А вам нужно реализация архитектуры сети с 2мя dhcp-серверами. При этом резервный сервер должен регулярно проверять на наличие в сети мастера. И при его отсутствии включаться в игру. Смысл такого подхода нулевой. Тем более при таком разбросе пулов адресов
