День добрый. Сервер SQUID стоит в датацентре и соединен с микротиком, установленном там же. если включить правило add action=drop chain=forward connection-state=invalid то по какой-то причине пакеты до сквида на его порт 3128 долетают и обрабатываются, а вот идущие обратно к клиенту дропаются как invalid. (все клиенты в одной попиленной на виланы, распределенно сети) Кусочек лога прилагается: Спойлер: ЛОГ firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.221.69:63242, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.196.71:50511, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.204.84:3592, len 48 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.196.75:57228, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.204.108:52419, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.204.108:52420, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.204.108:52434, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.221.69:63244, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.195.51:52337, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.221.69:63253, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.204.132:54166, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.204.132:54167, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.195.68:57709, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.204.108:52444, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.195.68:57710, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.197.74:1782, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.204.132:54170, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.204.132:54171, len 52 firewall,info forward: in:Alpist out:Alpist, src mac 00:15:5d:80:02:07, proto TCP (SYN,ACK), 192.168.128.111:3128 192.168.195.68:57751, len 52 Не могу понять почему все так происходит. Помоги пожалуйста в какую сторону копать. Заранее спасибо
Правила NAT Спойлер: NAT 0 ;;; MSK RDP chain=dstnat action=dst-nat to-addresses=192.168.200.134 to-ports=3389 protocol=tcp src-address=217.147.25.80/29 dst-address=X.X.X.X in-interface=ether1 dst-port=3389 log=no log-prefix="" 1 ;;; Lab IT external IP chain=srcnat action=src-nat to-addresses=X.X.X.Y dst-address=!192.168.0.0/16 src-address-list=Lab_it out-interface=ether1 log=no log-prefix="" 2 ;;; Mail Server chain=srcnat action=src-nat to-addresses=X.X.X.Z src-address=192.168.128.7 dst-address=!192.168.0.0/16 out-interface=ether1 log=no log-prefix="" 3 ;;; Mail Server chain=dstnat action=dst-nat to-addresses=192.168.128.7 dst-address=X.X.X.Z in-interface=ether1 log=no log-prefix="" 4 ;;; isp.h1mf.net chain=dstnat action=dst-nat to-addresses=192.168.128.105 dst-address=X.X.X.W in-interface=ether1 log=no log-prefix="" 5 ;;; d.kitanov chain=dstnat action=dst-nat to-addresses=192.168.202.63 to-ports=3389 protocol=tcp dst-address=X.X.X.Y in-interface=ether1 dst-port=3389 log=no log-prefix="" 6 ;;; p.mikhailov chain=dstnat action=dst-nat to-addresses=192.168.202.64 to-ports=3389 protocol=tcp dst-address=X.X.X.E in-interface=ether1 dst-port=3389 log=no log-prefix="" 7 ;;; spb-mc1-hv-video.h1mf.net chain=dstnat action=dst-nat to-addresses=192.168.214.66 protocol=tcp dst-address=X.X.X.Y in-interface=ether1 dst-port=8080,555,3080,3081,554 log=no log-prefix="" 8 ;;; spb-mc2-hv-video.h1mf.net chain=dstnat action=dst-nat to-addresses=192.168.200.141 protocol=tcp dst-address=X.X.X.Y in-interface=ether1 dst-port=8080,555,3080,3081,554 log=no log-prefix="" 9 ;;; spb-gc-hv-video.h1mf.net chain=dstnat action=dst-nat to-addresses=192.168.220.220 protocol=tcp dst-address=3X.X.X.Y in-interface=ether1 dst-port=8080,555,3080,3081,554 log=no log-prefix="" 10 ;;; Consultant chain=dstnat action=dst-nat to-addresses=192.168.200.98 to-ports=3389 protocol=tcp dst-address=X.X.X.Y in-interface=ether1 dst-port=3389 log=no log-prefix="" 22 ;;; spb-kb-srv0 chain=dstnat action=dst-nat to-addresses=192.168.128.115 to-ports=3389 protocol=tcp dst-address=3X.X.X.Y in-interface=ether1 dst-port=33891 log=no log-prefix="" 23 ;;; Main inet rool chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""
Пока не вижу криминала. Такое обычно происходит если connection-трекер не знает о пакете (нет записи) или "левые" флаги стоят.
Вопрос, если флаги левые, то разве они на клиентских будут корректно отрабатываться? Трэкер сейчас проверю, но без этого дроп правила все как часы со сквидом работает. Проверил. трэкер их видит
запросы приходять с сетей 192,168,192,0/20 и следовательно идут по верному маршруту, гейтом для сквида является сам микротик, поэтому как мне видится Hairpin NAT тут не причем, темболее что к нему я обращаюсь вообще без ната