SP
там всего 20 правил
9 FWD включенных, из них ipsec даж не работает
+10 input
Size: a a a
2021 May 28
LT
Разделить цепочки input и forward (так удобнее, имхо), поднять наверх них accept established, related и fasttrack, под ними дроп инвалидов, убрать лишние проверки
MS
Не надо игрищ.. Лучше сесть и понять как работает фаервол, что за флаги такие "dst nat state" и прочее..
SP
тут всё сложно... яж настроил и успокоился... и оно работало...
а потом пришёл OSPF...
а потом оказалось что нельзя просто OSPF, надо еще мангл и балансировку каналов...
я думал я навертел, а оказалось просто днём вышка перегружена...
а так как там никого особо нет - спросить что там - не получается...
а потом пришёл OSPF...
а потом оказалось что нельзя просто OSPF, надо еще мангл и балансировку каналов...
я думал я навертел, а оказалось просто днём вышка перегружена...
а так как там никого особо нет - спросить что там - не получается...
SP
так оно именно так и разделено...
ну ipsec между fasttrack и est\rel\untr записался
ну ipsec между fasttrack и est\rel\untr записался
MS
Не надо спрашивать "там" это все базовые штуки) Просто почитать туже вики микрота.
SP
читал, и трафик смотрел, и дампы снимал и анализировал...
была мысль что "где-то накосячил"
была мысль что "где-то накосячил"
LT
У вас как минимум accept established, related на форвард намного ниже чем fasttrack. Про отсутствие input вообще молчу
SP
инпут я просто не приводил)
SP
мыж говорим о трафике проходящем мимо
SP
/ip firewall filter
add action=fasttrack-connection chain=forward connection-mark=!ipsec connection-state=established,related,untracked
add action=drop chain=forward comment="cam bug port" disabled=yes protocol=udp src-address=192.168.89.191 src-port=40024
add action=accept chain=forward comment=ipsec-in ipsec-policy=in,ipsec
add action=accept chain=forward comment=ipsec-out ipsec-policy=out,ipsec
add action=accept chain=forward connection-nat-state=dstnat connection-state=established,related,untracked
add action=accept chain=forward src-address-list=iEnot
add action=accept chain=forward in-interface=iEnot-guests out-interface=lte1
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN log-prefix=FWD-NO-DSTNAT-DROP
add action=log chain=forward connection-state=invalid log-prefix=FWD-INVALID-DROP
add action=drop chain=forward log-prefix=FWD-DROP
add action=accept chain=input connection-state=established,related,untracked
add action=add-src-to-address-list address-list=iEnot address-list-timeout=1h chain=input log=yes packet-size=284 protocol=icmp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-port=22,443,8291,8729,1080 protocol=tcp src-address-list=iEnot
add action=accept chain=input dst-port=161,500,1701,4500 protocol=udp
add action=accept chain=input src-address-list=iEnot
add action=accept chain=input dst-port=53 in-interface=iEnot-guests protocol=udp
add action=log chain=input connection-state=invalid in-interface-list=WAN log-prefix=IN-INVALID-DROP
add action=drop chain=input in-interface-list=WAN log-prefix=IN-DROP
LT
К примеру у вас через второе правило "bug cam port" проходит каждый пакет на форвард, даже из уже установившихся соединений, потому что accept для established, related находится ниже
LT
Аналогично правила для ipsec, которые не выключены
SP
там стоит камера, которая ИНОГДА может продолжить слать поток отправителю, который уже отключился.
2мбит\с
правило кстати отключено
правила для IPSEC сделаны ровно по инструкциям
2мбит\с
правило кстати отключено
правила для IPSEC сделаны ровно по инструкциям
SP
comment="cam bug port" disabled=yes
SP
или Вы предлагаете их спустить ниже est\rel\untr?
LT
В чём вам смысл размещать accept на что-то выше чем accept на established related?
SP
по ispec? хз
в целом согласен
в целом согласен
SP
убрал их под дроп