Что за прикол с правилами микротика?

Question

Сергей @edinorog

Троллей не кормить!

Что за прикол с правилами микротика?

Итак. Имеем два правила
chain=input action=accept connection-state="" in-interface=ether1-local log-prefix=""
chain=input action=drop in-interface=ether1-local log=no log-prefix=""
Верхнее правило разрешает весь входящий трафик. А нижнее запрещает весь входящий трафик. Оба относятся к одному и том же интерфейсу. Обращаю внимание что правило полные. В верхнем правиле присутствует только connection-state="" .. которое в свою очередь никак не обозначено. При таком раскладе второе правило умудряется еще чтото блочить. Что за нах????? Может я не правильно понимаю запись connection-state=""?

Вопрос задан более трёх лет назад
525 просмотров

7 комментариев

Подписаться 4 Оценить 7 комментариев

Дмитрий Шицков @Zarom

А что оно блочит? Вы записали бы лог и посмотрели его.

Написано более трёх лет назад
Сергей @edinorog Автор вопроса

Дмитрий Шицков: пакеты не коим образом не отличающиеся от всех остальных. все подряд. конечно соотношение трафика есть .. если по первому правилу 8 гигов. то по второму 30 мегов.

Написано более трёх лет назад
Кирилл Васильев @vasilevkirill

Сергей: на вкладке action поставьте галку log и посмотрите что попадает под это правило.
А также уточните эти два правила находятся друг за другом? и на последнее не кто больше не ссылается jump?

Написано более трёх лет назад
Сергей @edinorog Автор вопроса

Кирилл Васильев: Правила идут друг за другом. нет не ссылается. логирование ставил. типичная сетевая активность. подобное же правило дублирующим весит на wireless и при этом является дублирующим для chain=input action=accept. но с connection-state="" . и один черт по нему щелкает что-то. то есть в данном случае даже сам этот флаг меняет логику обработки пакетов. и я не могу понять в чем она заключается.

это то что падает в логи с action=accept. но с connection-state="" с вафли. по первому правилу получается идет типичная вайфай активность.

Написано более трёх лет назад
Сергей @edinorog Автор вопроса

может я просто спал на уроках. но выставление на любом следом идущем правиле connection-state="" .. вне зависимости от входящие или исходящие пакеты ... главное чтобы правила относилось к одному логическому объекту ... приводит к странной активности по этому правилу. образец выше

Написано более трёх лет назад
Сергей @edinorog Автор вопроса

то есть в первом случае запрещающее правило не должно срабатывать вообще. во втором случае разрешающее правило является дублирующим.

Написано более трёх лет назад
satoo @satoo

если у вас wlan (как и любо другой подчиненный интерфейс) в бридже, то правила, направленные на этот интерфейс работать не будут. их надо выставлять на бридж

то, что вы указываете connection-state="" микротик игнорирует (как будто вы вообще эту опцию не используете)

сделайте дамп interface export и ip firewall export

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Простой
Mikrotik hap ac2 скорость порта 500 мбит это нормально для него?
- 2 подписчика
- 16 часов назад
- 141 просмотр
2

ответа
Системное администрирование

Простой
Этот график меня беспокоит, что это может быть?
- 1 подписчик
- вчера
- 103 просмотра
1

ответ
Сетевое администрирование

+3 ещё

Средний
Как перенастроить шаблон Zabbix для MT RB2011 CAPsMAN?
- 1 подписчик
- вчера
- 65 просмотров
1

ответ
Mikrotik

+1 ещё

Сложный
Как настроить на mikrotik проброс трафика или маршруты через несколько тунелей l2tp?
- нет подписчиков
- 29 апр.
- 66 просмотров
1

ответ
Windows Server

+2 ещё

Простой
Как разрешить доступ к MS SQL (named instance) серверу за WIndows Firewall?
- 4 подписчика
- 29 апр.
- 1125 просмотров
1

ответ
Компьютерные сети

+2 ещё

Средний
Как настроить правила маршрутизации трафика для двух IP адресов на Ubuntu server?
- 1 подписчик
- 28 апр.
- 100 просмотров
2

ответа
Windows

+1 ещё

Сложный
"Boot Device Not Found" on HP laptop, как исправить?
- 1 подписчик
- 27 апр.
- 110 просмотров
2

ответа
Android

+2 ещё

Простой
Есть ли какая нибудь платформа для управления андроид?
- 2 подписчика
- 27 апр.
- 87 просмотров
1

ответ
Сетевое администрирование

+2 ещё

Простой
Почему не отрабывают правила Forward в Firewall MikroTik?
- 2 подписчика
- 27 апр.
- 282 просмотра
1

ответ
Mikrotik

Простой
Как решить проблему с маршрутизацией в l2tp?
- 2 подписчика
- 27 апр.
- 180 просмотров
1

ответ
Показать ещё Загружается…

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Системный администратор

Глобал Смарт Системс • Санкт-Петербург

от 100 000 до 120 000 ₽

Системный администратор (инженер) 🚀

Хабр • Москва

от 140 000 ₽

Изменение темы сайта на ghost cms

02 мая 2024, в 04:47

5000 руб./за проект

Symfony, Vue - Сервис автоматизации бизнеса натяжных потолков

02 мая 2024, в 04:44

700 руб./в час

Интеграция бс24 с сайтом на битрикс

02 мая 2024, в 03:39

7000 руб./за проект

А что оно блочит? Вы записали бы лог и посмотрели его.
Дмитрий Шицков: пакеты не коим образом не отличающиеся от всех остальных. все подряд. конечно соотношение трафика есть .. если по первому правилу 8 гигов. то по второму 30 мегов.
Сергей: на вкладке action поставьте галку log и посмотрите что попадает под это правило.
А также уточните эти два правила находятся друг за другом? и на последнее не кто больше не ссылается jump?
Кирилл Васильев: Правила идут друг за другом. нет не ссылается. логирование ставил. типичная сетевая активность. подобное же правило дублирующим весит на wireless и при этом является дублирующим для chain=input action=accept. но с connection-state="" . и один черт по нему щелкает что-то. то есть в данном случае даже сам этот флаг меняет логику обработки пакетов. и я не могу понять в чем она заключается.

это то что падает в логи с action=accept. но с connection-state="" с вафли. по первому правилу получается идет типичная вайфай активность.
может я просто спал на уроках. но выставление на любом следом идущем правиле connection-state="" .. вне зависимости от входящие или исходящие пакеты ... главное чтобы правила относилось к одному логическому объекту ... приводит к странной активности по этому правилу. образец выше
то есть в первом случае запрещающее правило не должно срабатывать вообще. во втором случае разрешающее правило является дублирующим.
если у вас wlan (как и любо другой подчиненный интерфейс) в бридже, то правила, направленные на этот интерфейс работать не будут. их надо выставлять на бридж

то, что вы указываете connection-state="" микротик игнорирует (как будто вы вообще эту опцию не используете)

сделайте дамп interface export и ip firewall export

Answer 1 · 2016-05-12 23:58:40

connection-state можеть быть только estabilished, invalid,new,related. Пустое означает отсутствие connection-state. В первом вы разрешаете весь входящий с eth1 трафик, вторым правилом запрещаете. Вопрос то в чем? И на будущее всегда приводите выхлоп не print а export (/ip f f e)

Что за прикол с правилами микротика?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт