Один черт от задачи )) Вот надо ему при падении этого отдельного в общее уходить или нет )

Ну пусть надо

Если надо то можно через rule. Если не надо, то можно прямо через мангл.

Опять таки, если нужно чтобы роутер с обоих WAN корректно отвечал, то все равно маркировать. А если все равно маркировать, то зачем парится с другими способами?

Убежал ))

Если на мт вики есть флоу для 6+ почему все шлют скрины со старого флоу?

Трафик флоу имее ввиду

Запиннен вот был недавно тут

В чем истина? Ничего не поменялось?

Нахрена они тогда отрисовали аж страницу

Я прям упарился искать это на вики

может из пдф

из обучающих материлов

Илья вроде прилепливал

это ильи князева

сорян, не увидел форвард фром

Т.е. Это тайные знания и в вики это было искать бессмысленно))

Окау)

осталось выяснить кто эти все и куда шлют

осталось выяснить кто эти все и куда шлют

Гг, ну я так сказать художественно приукрасил

Меня дст нат с только нью стейт опять спать не дает

это хорошо )

If the packet matches the 'masquerading' rule, then the router opens a connection to the destination, and sends out a modified packet with its own address and a port allocated for this connection. The router keeps track about masqueraded connections and performs the 'demasquerading' of packets, which arrive for the opened connections. For filtering purposes, you may want to specify 'the to-src-ports' argument value, say, to 60000-65535, as it was in V2.4 by default.

Может кто про стейт нью при срснат пояснить?

Я не понимаю каким образом чувак извне может получить при маскарадинге пакет где срс ип будет внутренний ойпи

Какой в этом вообще смысл и как это может работать

Нат обрабатывает только new пакеты, да

Т.е. Это тайные знания и в вики это было искать бессмысленно))

Эта диаграмма спокойно собирается из тех, что есть в WiKi. Просто она мне в этом виде больше нравится )))

Спать немогу, давайте простейший кейс разберем

Про нью стейт

Наипростейший, ваще быстрый

Ну если кратко )) А то

времени нет

Я ваще быстро. Есть внутренняя сеточка 192.168.88.0/24 mt=.1, PC1=.100 этот микротик интерфейсом в мир смотрит адресом 1.1.1.1

злоумышленник 1.1.1.5

На Мт маскарадинг по условию выпускать только в не reserved сеточки (ну там rfc1918 + прочие)

Каким образом 1,1,1,5 может получить вообще такие пакеты, чтобы был абсурд src-ip=192.168.88.100 ?

Это ваще как такое может быть та

При чем здесь маскарадинг и выпускать?

При чем здесь маскарадинг и выпускать?

1,1,1,5 может при данных условиях получить нечто иное чем пакеты с src-ip=1.1.1.1 ?

При чем здесь маскарадинг и выпускать?

Ну ок, не выпускать, а перебивать только те пакеты, которые матчацца под это условие

1.1.1.5 ставит у себя маршрут 192.168.88.0/24 -> 1.1.1.1 Шлет пакет и его получает роутер. Смотри диаграмму, dst-nat нету для такого пакета . Значи попадаем в Routing Decision. Знаем куда доставить (есть маршрут?) Есть, знаем Попадаем в Firward и PostRouting. Src-NAT на такой пакет правил нету. Улетаем в Out-Interface и приходим на 192.168.88.100 Тот отвечает. Но так как Connection-State перейдет в Established, NAT НЕ СРАБОТАЕТ и пакет придет на 1.1.1.5 c src-address=192.168.88.100

Попробуй лабу сделать. Поймешь )

Уехал. Буду через 40 минут-час

Дело в том что как правило с внешних интерфейсов new запрещено

Ну в этом кейсе по крайней мере, я просто тупанул и забыл типовой конфиг сбросить

https://forum.mikrotik.com/viewtopic.php?f=2&t=72736&start=50

Мы же не про дественно чистый fw filter?

https://forum.mikrotik.com/viewtopic.php?f=2&t=72736&start=50

воу воу спасибо

на заметку. не как истина -) форум же

1.1.1.5 ставит у себя маршрут 192.168.88.0/24 -> 1.1.1.1 Шлет пакет и его получает роутер. Смотри диаграмму, dst-nat нету для такого пакета . Значи попадаем в Routing Decision. Знаем куда доставить (есть маршрут?) Есть, знаем Попадаем в Firward и PostRouting. Src-NAT на такой пакет правил нету. Улетаем в Out-Interface и приходим на 192.168.88.100 Тот отвечает. Но так как Connection-State перейдет в Established, NAT НЕ СРАБОТАЕТ и пакет придет на 1.1.1.5 c src-address=192.168.88.100

Ну допустим он шлет пакет, допустим нету в dst-n допустим поехали в маршр/решение - там new и сразу дроп (мы же не про пустой фв так?)

Дело в том что как правило с внешних интерфейсов new запрещено

На input да, но не на forward. Иначе у вас пробром поротов работать не будет

Там же суть какая. Пришел пакет на Routing Decision. Дальше тупа проверка 1. Адрес назначения пакета равен одному из адресов маршрутизатора? Значит в Input 2. Не равен и есть маршрут - значит в Forward

На input да, но не на forward. Иначе у вас пробром поротов работать не будет

у меня нет проброса портов

Тогда можете закрыть new на forward снаружи.

Но это скорее нештатная конфигурация.

Как я говорил, достаточно не грохать в дефолтном файрволе правило проверяющее nat-state

Тогда можете закрыть new на forward снаружи.

ну вощим то это штатная вполне наша конфига

на форвард ин-интерфейс езер1 разрешаются только уже установленные соединения, но при условии что там не "резервед диапазоны"

вы все о том же чтоль опять?)

но нат всё равно нужно подучить, ибо netfilters, применений много

вы все о том же чтоль опять?)

Да выяснилось что оно страшно только для потсонов который new извне не закрывают

ERROR: S client not available

как правило никто ничего не закрывает

про нью согласен

но так и так это важная фигня

Я прост в самом начале типовые 6 строчек правил привел и спросил - а так разве оно не защитит? Видимо никто не смотрел на правило и все сказали НЕЕЕТ ЭТОГО НЕДОСТААТОЧНО)))

в любой конфигурации можно найти обход

но так и так это важная фигня

конечно, вот тока доки про SYN почему то нашлись в каком то заплесневелом архиве только

так что лучше дропать все нафиг что не надо

а что про син там

что за доки

что за архив

https://www.mikrotik.com/documentation/manual_2.5/IP/Firewall.html

Please note, that 'src-nat' and 'dst-nat' rules are processing and counting only packets that are opening connections (for tcp only SYN, for icmp/udp only first packet). Thus, the counters rather show how many connections have been opened, than how many packets have been changed.

это кстати да

и это кстати ад

потому что хрен подсчитаешь трафик иногда

Да даже без подсчетов после cysco непривычно

Считайте трафик в других местах. В NAT это как-то странно ))

If the packet matches the 'masquerading' rule, then the router opens a connection to the destination, and sends out a modified packet with its own address and a port allocated for this connection

вообще трафик считать по нетфлоу

If the packet matches the 'masquerading' rule, then the router opens a connection to the destination, and sends out a modified packet with its own address and a port allocated for this connection

ну и капитаны

Есть Netflow, accounting. Если очень хочется - сделайте в filter правило с passthrouth и смотрте счетчики.

Получается мы ваще красавцы ТРИДЖЫ, потому что первый раз мы говорим что не пускать извне new, второй говорим что не пускать извне reserved ntwrks, третий раз - в маскарадинг идёт только то что матчицца под !reserved

задачи подсчета через правила нат на энтерпрайз уровне точно уж никак не делаются

если надо посчитать - способы знаем, спасибо

Ну это да )

я вообще из телекомов пришел

там вообще считалки считалки

Я из корпората изначально

не уверен что микротик в состоянии достоверно посчитать без потерь

если они сумели - честь и хвала)

но что-то рисковано

Смотря где вешать. Если без нетфло по правилам, то поставить на in в mangle prerouting и на out в mangle postrouting