Телеграмм чат группы miktrain страница 24792

12:50пожаловаться #1

Over in Mikrotik-Training

впринципе уязвимости закрыли - надо обновляться

12:51пожаловаться #2

Reverse Path Forwarding check да, в случае strict mode будет приводить к проблемам.

Но CT, каким образом пакеты попадают в INVALID, в рамках CT? При asymmetric routing?

12:59пожаловаться #3

Я не вижу в коде ядра для этого определённых механизмов, возможно я не туда смотрю конечно.

13:00пожаловаться #4

Mikhail Antonov in Mikrotik-Training

дежавю

13:13пожаловаться #5

"нюансы" кроются не столько в коде ядра, сколько в tcp-протоколе

13:14пожаловаться #6

Так, рассказывайте

13:14пожаловаться #7

можно я не буду пересказывать своими словами, а скопипастчу, ибо лень писать стенку текста? :)

13:15пожаловаться #8

Конечно 🙃

13:15пожаловаться #9

13:16пожаловаться #10

Look at the diagram: The router R1 is originating a TCP connection to R4. R1 has two available paths to R4. The upper path routes the traffic over R2, the lower path over R3. In this example, the TCP SYN flagged packet is routed over R2.

R4 also has two available paths to reach R1. R4 receives the TCP SYN flagged packet and answers with an TCP SYN ACK flagged packet. This time, the traffic is routed over R3.

Imagine there are stateful firewalls configured on R2 and R3. In this case, as the TCP SYN flagged packet from R1 gets routed via R2, R2 sees this as new connection because of the SYN flag. Assuming there are accept rules for "new", "established" and "related" connections from R1, an entry in R2 firewall's state table will be created. R2 passes the TCP SYN flagged packet to R4 and R4 replies with TCP SYN ACK packet in reply. But this time, the traffic is routed over R3. Again, assuming that there are accept rules for "new", "established" and "related" connections from R4, the firewall will block the TCP

13:16пожаловаться #11

глубоко не вчитывался, но, вроде, описано корректно)

13:16пожаловаться #12

Так, в данном кейсе да, statefull firewall будет блокировать пакеты, без спорно

13:17пожаловаться #13

И этому причиной будет проверка TCP модуля в ядре, в CT подсистеме

13:18пожаловаться #14

Но, только на промежуточных узлах, при условии, что они выполняют для транзитного трафика фильтрацию.

13:18пожаловаться #15

так, в описанном случае, (как я его понял) речь идёт как раз о промежуточных узлах (т.е. рутеры с оспф и есмп), через которые ходит траффик "клиентов" за этими рутерами

13:21пожаловаться #16

Если кто-то фильтрует на транзите, при условии ECMP, то да, ваше утверждение будет верно. 🙃

13:21пожаловаться #17

Возможно вы правы, в описание у автора, нет указания на то, что он фильтрует на транзите что-то.

13:23пожаловаться #18

DAV in Mikrotik-Training

На hex и hex s у меня таки пофиксилось на 6.48.3

13:39пожаловаться #19

Dmitry Lunkov in Mikrotik-Training

Спасибо тебе, добрый человек. Кажется, полечилось отключением дропа инвалидов на форварде