Здравствуйте, уважаемые форумчане! Пожалуйста, поделитесь информацией замечал ли кто странное поведение firewall, когда он блокирует трафик предназначенный для NAT? Система: 951Ui-2nD 3.24 Последнее в списке правило firewall - блокировать все + лог с соответсвующим префиксом (Default:Block all other traffic) Настоено правило NAT для проброса порта 9 (wol)+лог с префиксом "Depicus dstnat" . Правило работает хорошо (работало до сегодня), когда после 10-15 безуспешных попыток пробудить компьютер - "придательский ноль" в счетчике трафика по даному правилу. Проверил с мобильного, проверил с работы - нет обращений судя по счетчику. Из 10-20 обращений firewall заблокировал два с интервалом почти в минуту): 15:41:01 firewall,info Default:Block all other traffic: in:ether1-gateway outnon e), src-mac 90:e2:ba:b8:6a:81, proto UDP, 212.159.110.168:54327->хх.хх.хх.хх:9, len 130 15:41:52 firewall,info Default:Block all other traffic: in:ether1-gateway outnon e), src-mac 90:e2:ba:b8:6a:81, proto UDP, 212.159.110.168:41047->хх.хх.хх.хх:9, len 130 Отключаю правило файвола - посылаю пакеты без него - никакой реакции. Включаю правило опять посылаю пакеты - все три тут же приходят: 15:45:10 firewall,info Depicus dstnat: in:ether1-gateway outnone), src-mac 90:e2 :ba:b8:6a:81, proto UDP, 212.159.110.168:53629->хх.хх.хх.хх:9, len 130 15:45:11 firewall,info Depicus dstnat: in:ether1-gateway outnone), src-mac 90:e2 :ba:b8:6a:81, proto UDP, 212.159.110.168:46293->хх.хх.хх.хх:9, len 130 15:45:12 firewall,info Depicus dstnat: in:ether1-gateway outnone), src-mac 90:e2 :ba:b8:6a:81, proto UDP, 212.159.110.168:56136->хх.хх.хх.хх:9, len 130 Получается, что правило "блокировать все" как-будто "залипло", да еще и фильтровало трафик NAT в каком-то произвольном порядке. Замечал ли кто похожие проблемы?
Я бы не хотел обновлять систему. (Возможно это и решит вопрос, но согласитесь, поведение не нормальное. Описания подобного поведения я не нашел в журналах исправлений\улучшений от версии до версии Микротик). /ip firewall filter add chain=input comment="winbox from internet" dst-port=8291 protocol=tcp add chain=input comment="default configuration -ping router" protocol=icmp add action=add-src-to-address-list address-list="WANNACRY\?" address-list-timeout=1h chain=input dst-port=445 in-interface=ether1-gateway protocol=tcp add action=add-src-to-address-list address-list=1500 address-list-timeout=4w2d chain=input dst-port=1500 in-interface=ether1-gateway protocol=tcp add action=add-src-to-address-list address-list=1500 address-list-timeout=4w2d chain=input dst-port=1500 in-interface=ether1-gateway protocol=udp add action=drop chain=input comment="Drop 1500 TCP&UDP" in-interface=ether1-gateway log-prefix="Droped 1500TCP" src-address-list=1500 add action=drop chain=input dst-port=1500 in-interface=ether1-gateway log-prefix="Droped 1500UDP" protocol=udp src-address-list=1500 add action=add-src-to-address-list address-list=hack_telnet address-list-timeout=1h chain=input dst-port=23 in-interface=ether1-gateway protocol=tcp add action=drop chain=input dst-port=23 in-interface=ether1-gateway log=yes log-prefix="Droped 53telnet" protocol=tcp src-address-list=hack_telnet add action=add-src-to-address-list address-list=flooders_53 address-list-timeout=1d chain=input dst-port=53 in-interface=ether1-gateway protocol=udp add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=udp src-address-list=flooders_53 add chain=input comment="default configuration - accept est.+ralated Mikrotik" connection-state=established,related add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related add chain=forward comment="default configuration" connection-state=established,related add action=drop chain=forward comment="default configuration" connection-state=invalid log=yes log-prefix=DEFAULT:Invalid add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway log=yes \ log-prefix="Defaultrop_Forward \EA\F0\EE\EC\E5dstNAT" add action=drop chain=input comment="default configuration" in-interface=ether1-gateway log=yes log-prefix="Default:Block all other traffic" /ip firewall nat add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway add action=dst-nat chain=dstnat dst-port=9 log=yes log-prefix=Depicus protocol=udp src-address=!хх.хх.хх.хх to-addresses=уу.уу.уу.уу to-ports=9 add action=dst-nat chain=dstnat disabled=yes dst-port=9 protocol=udp to-addresses=уу.уу.уу.уу to-ports=9 add action=dst-nat chain=dstnat dst-port=3333 in-interface=ether1-gateway log-prefix=CentOS-Test protocol=tcp src-address=хх.хх.хх.хх to-addresses=\ уу.уу.уу.уу to-ports=22 add action=dst-nat chain=dstnat dst-port=2323 protocol=tcp src-address=хх.хх.хх.хх to-addresses=уу.уу.уу.уу to-ports=3389
А перезагружаться вы пробовали ? Для начала я бы обновился, иногда такие глюки решаются сбросом конфигурации. Попробуйте удалить все правила firewall и заново создать, такое тоже может помочь.
До перезагрузки не дошло. Все решилось отключением\включением последнего запрещающего правила. Уверен, что перезагрузка решила бы вопрос (но, вероятно, сделала бы невозможной подключение через wol - разорвалась бы связь с клиентом). Я к чему: согласитесь, очень неприятно знать, что по непонятной причине маршрутизатор может иногда работать (пробуждать клиентов по wol), иногда и не работать. Хочется просто ждать отклик от клиента, нежели каждый раз подключаться к консоли и проверять, пришел ли волшебный пакет или нет. Интересно, как часто подобные глюки встречаются у остальных пользователей.
