Скорее всего влан при назначении появляется как тегированный, а на соединяющем устройстве порт не настроен принимать тегированные пакеты с этим вланом. Схема нужна, определенно.
Ну, если хотите скрипт, можно делать, скажем, start-process cmd.exe -wait, потом отключать диск. В случае флага -persist на new-psdrive диск будет виден в комстроке.
в правилах OUTPUT не заблокируется, так как ssh контролируется правилами на INPUT, а в OUTPUT должно (хотя надо бы проверить) присутствовать правило -m state --state RELATED,ESTABLISHED -j ACCEPT. Как вариант, составить правило с ! -d ip_address -p tcp --dport 666 -j DROP, чтобы не париться с изменением дефолтной политики на OUTPUT.
akelsey, примерно понимаю, поэтому и говорю, что мангл в принципе здесь не нужен. И кстати, у вас микротик натить не должен вообще в такой конфигурации, а он у вас натит. А к ВМкам надо ходить через внутренние интерфейсы, иначе у вас полноценный hairpin, чего роутеры особо-то не любят.
akelsey, то есть 10.10.0.0/16 должны выходить в интернет через Х.Х.Х.Х, при этом микротик работает только как vpn-устройство, без ната? Тогда пишите на нем дефолтный маршрут в тоннель на 10.1.0.2, а маршрут до Х.Х.Х.Х через шлюз провайдера (который на нем сейчас шлюз по умолчанию). Тогда весь трафик в Интернет из сетей за микротиком будет завернут в тоннель, Х.Х.Х.Х она же 10.1.0.2 его будет натить, и доступ внутрь 10.10.0.0/16 пойдет через Х.Х.Х.Х а не Y.Y.Y.Y. Вроде то, что вы хотите.
Конкретно в этом коде - нужно вначале из строки с пробелами сделать список строк без пробелов, потом скормить предикату count_list этот список и слово, которое ищется (первый аргумент - что ищем, второй - где), результат будет в третьем аргументе. Конкретно этот код запускается командой start. после чего нужно ввести две строки через энтер, сначала "где" потом "что".
У вас, похоже, ситуация, когда пакеты "туда" идут на ххх.ххх, а ответы идут от 172.16.1.10, что означает, что вам нужно алиасить DNS внутри, чтобы какой адрес сидит на веб-сервере резолвился внутри в 172.16.1.10. Раньше он резолвился через внешнюю сторону из-за проброса всего ПК натом на этот айпишник, срабатывала DNS Rewrite, и вы при запросе изнутри сети на собственный внешний DNS получали внутренний адрес 172.16.0.11. Сейчас вы получаете внешний адрес с того же DNS'a, значит, нужно исправлять настройки самого DNS. Я бы в вашем случае поднял бы DNS-сервер для внутренних нужд (домен там, ещё что), внешний на адресе 172.16.1.5 использовал как форвардер, и на нем задавал статические адреса для хостов внутренних сетей.
Если память ограничить, браузеры валиться будут, а если пользователи ещё и офисом-2016 пользуются, тот тоже не слишком-то потерпит такое ограничение. Хотя от хоть какого-то решения я бы тоже не отказался, но во время поиска решения под 2012R2 я уперся в то, что в ответе написал SyavaSyava и пришлось забить.
Александр Терехов, запретить - поставить privilege level 15. А так вообще, в цисках что не разрешено - то запрещено, т.е. не указываете какую-то команду и всё. Но нужно учесть, что уровни привилегий вложенные, т.е. уровню 3 доступны все команды уровня 2.
test2235, ну скрипт рассчитан на то, что у роутера может быть и другой IP, скажем, .250, поэтому сканит всю сеть. Все равно смотрите, что-то мне не нравится такое поведение роутера, не его это дело следить за тем, какие IP-адреса есть в локалке.
Если вы эту картинку попробуете ручками загрузить, не отдастся ли 302 с редиректом на http? Если да, проще её выпилить с концами, или, если она статическая, отдавать от себя.
Что будете делать с поисковыми роботами? Они могут ходить и с узлов, адреса которых не имеют PTR-записей. Плюс IPv6 - там может и не быть вообще PTR-зон (недостаточно данных у меня).
Имхо не взлетит, либо деградирует до указания подсетей белого списка.
Помнится, Excel при открытии пытается lock-файл создать. Дык, если этот процесс заставляет вашу самбу лезть в DNS, а настройки там кривые, вы получаете задержку на dns timeout, а таймаут по умолчанию на DNS-запрос в линуксах большой (30000 или 60000 мс).
Max Payne, за обратное транслирование ответа отвечает вход в нат-таблице, создающийся при обработке файрволлом syn-пакета. Модуль conntrack (state) в iptables. Кстати, правило iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT именно разрешает трафик, относящийся к установленному или устанавливаемому соединению, и должно быть (в INPUT, если трафик от локалхоста, в FORWARD, если хост - роутер) в принципе всегда.
