Николай:
это мы выгребаем просто /30 ) но вообще идея интересная) именно в сторону POSIX я и думал, но до конца не осилил понять с разбега. у меня получилось так:
[admin@] > /ip address print where address~"[0-9.]*/30"
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 10.1-/30 10.- ether1-gateway
1 80.2-/30 80.- ether1-gateway
2 172.1-/30 172.- vlan10-5
3 10.1-/30 10.- ether5-
4 172.1-/30 172.- ether2-
5 172.2-/30 172.- bridge_main
Obsession: для построения правил скриптом - прикрыть себя снаружи. условно человек на площадке может развесить айпишники и обеспечить доступность, дальше уже надо чтоб скрипт крутил правила файрвола сам (там скриптом много ещё что делается, но уперся я лишь в то, что надо понять какой у нас паблик висит и прикрыть его в input дропами на все ненужные интерфейсы, обеспечить в dst-address ip fir filter'а нужные паблики.
Obsession: прописывает руками инженер на удалённой площадке (на этой способностей хватает), обычно это один из ether интерфейсов. потому что так исторически сложилось. ну и опять же - может на одной интерфейсе быть не только паблик, но и серая сеть.
Евгений Денисов: 1. в такой ситуации лучше l2tp. он точно есть везде. однако на винде последнее время хотят l2tp+ipsec и тут есть нюансики.
2. аналогично
nafigat: это не совсем так, в текущих rc можно дёргать по http нотификацию, почитайте чейнжлог на форуме в одной из веток это есть.другое дело что стабильность этих rc пока не на уровне
оставлять ssh но выключать winbox?) ну фиииииг знает. я лично предпочитаю убирать всё кроме винбокса. port-knocking если наружу управление смотрит, конечно, лучше делать сразу. доступ по маку вырубать не стоит, мало ли где ошибётесь, а вот ограничить интерфейсы куда ему смотреть - самое то. HeroFromEarth:
