Добрый день! Допустим в /ip firewall filter настроены 10 правил: первые пять для цепочки forward следующие пять для цепочки input В цепочку input пришел новый пакет. Как он будет обрабатываться файерволом? Вначале проверит на совпадение первым пяти правилам для цепочки forward и далее перейдет к правилам 6 - 10 для цепочки input или сразу пойдет к 6-му правилу, т. к. это первое правило для input?
Эмм. В общем и целом пакет пройдет следующий путь 1. input interface START PREROUTING 2. Hotspot-in 3. RAW-Firewall 4. Connection Tracker 5. Mangle Prerouting 6. DST-NAT END PREROUTING ..... ROUTING DECISION (Принятие решения об машрутизации). Далее если адрес назначения пакета РАВЕН одному из адресов маршрутизатора - пакет попадет в INPUT. Если адрес назначения пакета НЕ РАВЕН одному из адресов маршрутизатора и в таблице маршрутизации есть маршрут по которому его можно отправить - уйдет в FORWARD. Таким образом вообще не важно как вы расположите правила input и forward относительно друг друга. Пакет попадет только в одну из этих цепочек. В ней правила сработают в порядке возрастания их номеров в этой цепочке. На всякий случай приложу диаграмку с основными блоками обработки трафика.
Илья, спасибо. Схема, которую Вы привели нет здесь: http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 . Есть но в более простом виде. У Вас есть какие-нибудь еще схемы, которыми Вы можете поделиться?
Хорошая, но упрощенная диаграмма, может кто-то еще не видел - https://forum.mikrotik.com/viewtopic.php?p=588978#p588978 Тоже рисовал для себя, недавно немного подправил. В ней попытался собрать все во едино, но естественно получилось сложновато. Моя диаграмма сопоставлена к модели OSI для академических выкладок больше подходит.