/ip firewall raw action=notrack

Тема в разделе "Вопросы начинающих", создана пользователем Nemiroff_84, 23 фев 2017.

  1. Nemiroff_84

    Nemiroff_84 Участник

    Добрый день!
    В /ip firewall raw есть действие action=notrack. Судя по официальной WiKi он делает так, что бы пакет миновал Connection Tracker. Но при этом не сказано где он в итоге "приземляется". В "Mangle Prerouting" или "Mangle Output" в зависимости от цепочки самого "RAW Filter" или где-то еще?
    Можете подсказать?
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    В смысле где? Пройдет всю цепочку преобразований за исключением
    На него не будут действовать правила Firewall со всякими там Connection-State
    Mangle не сможет навесить на него маркировки
    NAT не будет работать.
    Не будет выполняться дефрагментация пакета.
     
  3. Nemiroff_84

    Nemiroff_84 Участник

    Но зачем тогда в Mangle и Filter возможность указать connection-state=notrack?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Так а кто тебе мешает в mangle менять например TTL или DSCP пакета? А в Filter вполне можно применять правила, которые не завязаны на то, за что отвечает Connection tracker.
     
  5. Nemiroff_84

    Nemiroff_84 Участник

    Не учел. Спасибо.