The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"routeros7 странное поведение firewall (wifi в br0)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Другое оборудование)
Изначальное сообщение [ Отслеживать ]

"routeros7 странное поведение firewall (wifi в br0)"  –1 +/
Сообщение от anonymous (??), 10-Сен-22, 01:10 
Доброе время суток всем!

Дома стоит у меня микрот, фаервол настраивал давно. Всё работало. Wifi в бридже вместе с внутренними езернетами.
Недавно, наслушавшись историй о прелестях (в частности - openvpn via udp), обновил routeros до текущей 7.5. Начал подтормаживать немного тырнет. Некритично, но я заметил. Полез смотреть - клиентам отдаётся по dhcp сервера DNS микрот (192.168.45.1) и 8.8.8.8. В фаерволе для ДНС прописаны правила:

[MikroTik] > /ip firewall filter print 
Flags: X - disabled, I - invalid; D - dynamic
0    ;;; jump to kid-control rules
      chain=forward action=jump jump-target=kid-control

1 X  chain=forward action=accept src-address=192.168.45.25

2    chain=forward action=accept src-address=192.168.45.10

3    chain=forward action=accept protocol=gre src-address=192.168.45.10

4    chain=input action=add-src-to-address-list connection-state=new
      protocol=tcp src-address-list=!managers address-list=CRACKERS
      address-list-timeout=none-static in-interface=WAN dst-port=21,22,23,8291

5    chain=input action=reject reject-with=icmp-host-unreachable
      src-address-list=CRACKERS

6    ;;; established&related
      chain=input action=accept connection-state=established,related

8    ;;; invalid connections
      chain=input action=drop connection-state=invalid

9    chain=forward action=drop connection-state=invalid

10    ;;; For local configuration in accidents
      chain=input action=accept in-interface=ether2

11    ;;; pings
      chain=input action=accept protocol=icmp in-interface=!WAN

12    ;;; DNS requests from LAN to me
      chain=input action=accept connection-state=new protocol=udp
      in-interface=br0 dst-port=53

13    chain=input action=accept connection-state=new protocol=tcp
      in-interface=br0 dst-port=53

14    ;;; DNS requests from LAN to WAN
      chain=forward action=accept connection-state=new protocol=udp
      in-interface=br0 out-interface=WAN dst-port=53

15    chain=forward action=accept connection-state=new protocol=tcp
      in-interface=br0 out-interface=WAN dst-port=53
[skip...]


Но при попытке обрашения к DNS микрота из локалки, получаем отлуп
0:23:31.432579 IP 192.168.45.5.45515 > 192.168.45.1.53: 11274+ A? play.google.com. (33)
00:23:31.433671 IP 192.168.45.1 > 192.168.45.5: ICMP 192.168.45.1 udp port 53 unreachable, length 69

Следующий пакет летит уже на 8.8.8.8 и, в конце концов, тырнет работает.

снифер пакетов на микроте показал, что пакет DNS-запроса от клиента считается входящим через wifi, а не через br0. При попытке изменить 12 правило на "in-interface=wifi", получаем логичную ошибку, что на slave-интерфейсе это действие не допустимо - используйте родительский br0. Wiki от микротика и гугл пока ясности не дали (может, неправильно формулировал?). :(

Если кто натыкался на эти грабли, ткните в правильную ссылку, плз, или объясните как выйти из ситуации? br0 разбирать не хотелось бы.

Спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "routeros7 странное поведение firewall (wifi в br0)"  +/
Сообщение от Аноним (1), 11-Сен-22, 17:53 
Тебе обязательно интерфейс указывать? ИП и порта достаточно.


Ответить | Правка | Наверх | Cообщить модератору

2. "routeros7 странное поведение firewall (wifi в br0)"  +/
Сообщение от Аноним (1), 11-Сен-22, 17:55 
> Тебе обязательно интерфейс указывать? ИП и порта достаточно.

На всякого мудреца довольно простоты :)

Ответить | Правка | Наверх | Cообщить модератору

3. "routeros7 странное поведение firewall (wifi в br0)"  +/
Сообщение от Сергей (??), 12-Сен-22, 10:50 
>> Тебе обязательно интерфейс указывать? ИП и порта достаточно.
> На всякого мудреца довольно простоты :)

У вас же локалка и  нафиг ее блокировать, во всяком случае connection-state=new да и протоколы тоже можно для 53 порта убрать...

Ответить | Правка | Наверх | Cообщить модератору

6. "routeros7 странное поведение firewall (wifi в br0)"  +/
Сообщение от anonymous (??), 15-Сен-22, 12:42 
>>> Тебе обязательно интерфейс указывать? ИП и порта достаточно.
>> На всякого мудреца довольно простоты :)
>  У вас же локалка и  нафиг ее блокировать, во всяком
> случае connection-state=new да и протоколы тоже можно для 53 порта убрать...

Я брал типовой конфиг с наших промышленных решений, в которых принимаю участие. Домашняя локалка - это тоже полигон для проверки некоторых решений перед внедрением в прод. Ну и специфика админа - может быть излишняя паранойя.

Ответить | Правка | Наверх | Cообщить модератору

8. "routeros7 странное поведение firewall (wifi в br0)"  +/
Сообщение от Тимофей (??), 19-Сен-22, 10:49 
>>>> Тебе обязательно интерфейс указывать? ИП и порта достаточно.
>>> На всякого мудреца довольно простоты :)
>>  У вас же локалка и  нафиг ее блокировать, во всяком
>> случае connection-state=new да и протоколы тоже можно для 53 порта убрать...
> Я брал типовой конфиг с наших промышленных решений, в которых принимаю участие.
> Домашняя локалка - это тоже полигон для проверки некоторых решений перед
> внедрением в прод. Ну и специфика админа - может быть излишняя
> паранойя.

Дефолтовые правила сделайте они в большинстве случаев покрывают все потребности, а эти удалите. И не мучайтесь. И научитесь пользоваться интерфейс и адрес листами.

Ответить | Правка | Наверх | Cообщить модератору

5. "routeros7 странное поведение firewall (wifi в br0)"  +/
Сообщение от anonymous (??), 15-Сен-22, 12:37 
> Тебе обязательно интерфейс указывать? ИП и порта достаточно.

Может, и не обязательно - привычка из всяких linux-*bsd...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "routeros7 странное поведение firewall (wifi в br0)"  +/
Сообщение от Аноним (-), 15-Сен-22, 00:40 
А что там с мразотиком нонче, не забанили прибалты обновления?
Ответить | Правка | Наверх | Cообщить модератору

7. "routeros7 странное поведение firewall (wifi в br0)"  +/
Сообщение от anonymous (??), 15-Сен-22, 12:43 
> А что там с мразотиком нонче, не забанили прибалты обновления?

Ну, я же написал, что до 7.5 обновился - работают пока...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру