КМБУ.

¯\_(ツ)_/¯

Молодцы. От киски не отстают ни в чём.

пральна, отключать его надо изначально и доступ снаружи по ip ограничивать

согласен
но ограничение на вход надо прикрывать, впн никто не отменял, я с телефона могу зайти на все микротики и серваки, но через впн

Потому что микротик - говно.

Вот тебе загадко:
дан микротик, который роутер для белой сетки за ним.
есть пачка accept forward для трафика к машинам за ним.
и есть пачка accept input для трафика к самому микротику.

Теперь вопрос на засыпку:
почему, если после всех этих правил добавить drop input, то (разрешенный в input) трафик к микротику идёт, трафик к машинам (forward на всё) идёт, НО ЛОЖИТСЯ К ХУЯМ GRE идущий к машинам?

Ответ - потому что микротик говно.

Я знаю.
И не люблю микроты. Сильно.

Лет пять назад мы на работе столкнулись с крайне неприятным багом.

Ситуация была следущая:
Построили IPsec-тоннель. Всё ок, тоннель строится, пакеты бегают.
Но нагрузке монотонно возрастает загрузка процессора. Когда она достигала 100% — микрот перезагружался.
После этого процесс повторялся. Циклично.

Буквально вчера поговорил с коллегой - говорю, ну чо, баг-то с IPsec пофиксили?
Нет, не пофиксили. Всё так же: 100% потом перезагрузка.