Добрый день! Если я правильно понимаю, то при использовании FastTrack трафик после прохождения "Connection Tracker" сразу перенаправляется на исходящий интерфейс. Помогите, пожалуйста, с ответами на следующие вопросы: Правильно ли я понимаю перемещение FastTrack по Traffic Flow? Изменяется ли при FastTrack TTL? Приведите, пожалуйста, пример использования FastTrack в связке с другими правилами. Вроде бы встречаются схемы, когда через FastTrack направляются только определенные виды трафика.
1. В общем правильно. Но это относится только к установленным соединениям. 2. Да 3. Во первых FastTrack будет работать только при поддержке FastPath в драйвере интерфейса. Во вторых, возможно в правиле указать какой трафик попадет под FastTrak (не уверен, надо экспериментировать, или на MUM спрошу у Микротиковцев). В третьих можно в RAW файрволле сказать NoTrack, но при этом не только FastTrack отвалится.
Добрый день! (Вопросы связаны с тем что не могу проверить до апгрейда - у меня сейчас RB850Gx2 и FastTrack не работает) 1) Правильно ли я понимаю что RAW (ветка prerouting) отрабатывает до FastTrack (там где он есть). Т.е. блокировки, которые есть в RAW отработают? 2) И наоборот - все блокировки в цепочках forward (и input?) в обычном разделе firewall не отработают при включении fasstrack для established, related независимо от того насколько они находятся выше правила fasttrack в цепочке? 3) удалось ли узнать / проверить возможность указания более узких правил для fasttrack? (чем established, related)
1) да raw идёт раньше, чем mangle prerouting. 2) да, после создания правила на fast track cоздаются динамические правила в фаерволе которые имеют приоритет. 3) Вы можете маркировать трафик использую все возможности фаервола. Используйте действия - fasttrack
Спасибо, теперь картинка сложилась. --------------------- UPD. на 6.41.2 и .3 и на 6.42.rc43 (на RB750GL - достал для тестов) правило по блокировке определенных пакетов в RAW не работает, если пакеты относятся к соединениям, для которых установлен FastTrack (established,related). Пришлось сделать 2 правила для FastTrack - одно для всех протоколов кроме TCP, другое для всех TCP кроме 80 порта (у меня пакеты с 80 порта нужно фильтровать). Либо это баг новых версий, либо RAW не такой уж и RAW и учитывает маркировку (установленных) соединений (но как?)