Доброго времени суток. Вопрос такой , есть определенные правила в таблице, вроде все логичные и все отрабатывают. Задача была поднять PPTP сервер, и там нужно добавить 2 записи, на порт 1723 и GRE , добавляем... не идет соединение, если вырубить цепочку input drop на все соединения,: то все хорошо /ip firewall filter add action=accept chain=input connection-state=established,related add action=accept chain=forward connection-state=established,related add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid add action=accept chain=input comment=winbox dst-port=8291 in-interface=ether1 protocol add action=drop chain=input in-interface=ether1 add action=accept chain=input comment="Accept PPTP tunel" dst-port=1723 protocol=tcp add action=accept chain=input protocol=gre Где косяк ? надо чтоб и по порту 1723 работало и правило Input drop
Добрый день. Не подскажите что может быть? Сделал правило блокировку сайтов ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|youtube|loveplanet).*\$" ip firewall filter add action=drop chain=forward comment="Block_social" layer7-protocol=social src-address-list=Block_social и когда включаю это правило то локальная сеть начинает тормозить а когда выключаю то все отлично. Где я на косячил не скажете?
Скорей всего у вас не справляется процессор, посмотрите не загрузку. Вы проверяете фильтром L7 каждый пакет, а это очень труднозатратно для процессора. Посмотрите вот здесь: https://spw.ru/forum/threads/kak-sozdat-belyj-spisok-sajtov.256/ - тут корректно описан способ применения фильтра L7 не к каждому пакету, а только к новым соединениям.
Добавлю, что такое проще блокировать через DNS и regexp, принудительно завернув все запросы DNS на роутер.