Задать вопрос
Kenny00
@Kenny00
веб-разработка

Почему на web-proxy Mikrotik долго отрабатывает deny, 403 Forbidden?

Есть Микротик в качестве прокси сервера (web-proxy), на котором есть одно правило (как dst-domain) с разрешением всех windows update по списку и 1 сайтом - allow. Остальное всё deny. (всё запрещено, кроме разрешенных)

На сайте есть ресурсы, подгружаемые с других ресурсов (Например тот же одноименный сайт социальной сети и их API), они запрещены кроме основного сайта, так как внутренний сайт, не предполагает авторизацию через соц сети. А клиенты из интернета пожалуйста.

Сайт test.ru просто не грузится, пока не получит все элементы, да же пусть они будут 404 или 403.
5d60011bd86ca627241679.png

После успешной загрузки или не загрузки элементов, сайт работает прекрасно.

5d60011765432743753593.png
5d60011020ec4215179464.png
От сюда вопрос, почему микротик так долго думает прежде чем вернуть 403?
(ровно 300 секунд, судя по дебагу)

P.S. Если разрешить одноименный сайт социальной сети, то отрабатывает за секунду.
  • Вопрос задан
  • 428 просмотров
Комментировать
Подписаться 3 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
@rionnagel
ковырятель
Потому, что пакеты полностью дропаются, а не реджектятся. Перед дропами сделать reject tcp-reset.
То, шо вы используете веб прокси еще не значит, что клиент игнорит фаервол.
Ответ написан
5 комментариев
5 комментариев
Jump
@Jump
Системный администратор со стажем.
Почему на web-proxy Mikrotik долго отрабатывает deny, 403 Forbidden?
Потому что вы не правильно понимаете как это работает.
Mikrotik просто уничтожает пакет, и больше ничего не делает.
Он не имеет никакого отношения к 403 Forbidden.

почему микротик так долго думает прежде чем вернуть 403?
Потому что эту ошибку возвращает браузер, а не микротик! А микротик тут вообще не при делах.

Вы дали задачу браузеру загрузить ресурс - он пытается это сделать.
Но часть сайта не грузится - вы же заставили микротик дропать пакеты, и они тупо не доходят до браузера.
Браузер ждет в надежде что может все получится и пакет придет, пытается отправить запрос повторно - но микротик по прежнему блокирует трафик, и в конце концов, браузер сдается, и сообщает вам что данный ресурс вывести не получается - 403.
Ответ написан
3 комментария
3 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Веб-разработчик
Art gorka Санкт-Петербург
от 60 000 ₽
Веб-разработка и управление IT в Sortage
Sortage Москва
от 180 000 ₽
Fullstack PHP Developer
Smapse Education
от 40 000 до 65 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать мини-приложение Windows 7-11, Linux,Macos
18 апр. 2024, в 07:22
45000 руб./за проект
Каталог AI tools
18 апр. 2024, в 01:12
150000 руб./за проект
Загрузка характеристик из xml/csv файла в карточки товаров WordPress
18 апр. 2024, в 00:58
5000 руб./за проект
Ещё заказы