RAW

Базовая функциональность RouterOS
Аватара пользователя
Sir_Prikol
Сообщения: 535
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

RAW

Сообщение Sir_Prikol »

Добрый день.
ROS 6.48.6 long

Какое-то не совсем понятное поведение ip firewall raw

Создаю правило, указываю с каких ифейсов мониторить пакет и соответственно его дропаю, но, в то-же время пропадает доступ изнутри.

Пример, есть удалённый хост 1.1.1.1 с него дропаю вход ко мне следующим правилом

Код: Выделить всё

add action=drop chain=prerouting in-interface-list=iNET src-address-list=zz_xPORT_SCANNER
Где, in-interface-list - список интерфейсов аплинков, src-address-list - в нём находится данный IP 1.1.1.1

Но, в таком виде данный IP становится недоступним изнутри моей сети. Хотя в правиле я явно указываю дропать ТОЛЬКО со стороны интерннета.

ЧЯДНТ? :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 535
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: RAW

Сообщение Sir_Prikol »

UPD:

Срабатывает только после явного указания протокола и порта (tcp/udp и 21,22....) Но странно. По идее должно работать и без указания
Дома: CCR2004 (7-ISP(GPON)белый IP)
wan
Сообщения: 74
Зарегистрирован: 20 авг 2017, 13:43

Re: RAW

Сообщение wan »

Sir_Prikol писал(а): 01 апр 2022, 14:56
Но, в таком виде данный IP становится недоступним изнутри моей сети. Хотя в правиле я явно указываю дропать ТОЛЬКО со стороны интерннета.

ЧЯДНТ? :)
Л - логика
ну так на любой запрос от тебя все ответы дропаются в любом случае, что ты хотел то? :D
как ты написал далее - дропай по портам по которым ты к нему не обращаешься
Аватара пользователя
Sir_Prikol
Сообщения: 535
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: RAW

Сообщение Sir_Prikol »

Читай выше, стоит in-interface-list, то-есть он должен дропать только пакетs приходящие именно с тех интерфейсов, которые указаны. А не со всех. По твоей логике, он и при указании портов должен их дропать со всех сторон, а он тогда дропает только на вход и изнутри доступны

И задача не от меня к нему попасть (это редкий случай), задача дропнуть сканирующих так, чтоб они были доступны от меня, бывает собственные внешние ресурсы туда попадают и они не всегда со статикой, иногда с динамикой.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3470
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: RAW

Сообщение Chupaka »

Поавильно wan сказал, запросы из локалки к хосту не дропаются, дропаются ответы (роутер ведь в RAW не знает, это запрос, ответ или ещё что - там ведь ConnTrack ещё не работает). Вот он и дропает ответы, приходящие из Инета. Они ведь из Инета приходят, из iNET? :)
Аватара пользователя
Sir_Prikol
Сообщения: 535
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: RAW

Сообщение Sir_Prikol »

Так я и не спорю. Но это начинает работать только тогда, когда я, в дополнении к ифейсу, указываю порт. Тогда он начинает работать правильно. когда порт не указан, дропает со всех сторон.

Но сейчас получается хост ко мне лезет по 22 порту и его дропает, а я до него попадаю так-же по 22 порту (при условии что у меня указан порт и ифейс входа). Как только я убираю порт - то ни я хост не вижу, ни он меня. Вот где косяк. Он или должен дропать все входящие, исходящие оставить, или вообще пофиг должно на интерфейс.

Ну да ладно, для меня не убудет лишний параметр прописать. Я в саппорт отписал, посмотрим что скажут. Но конструкция не совсем корректная.

Да и честно, юзать RAW, когда у тебя мощностей хоть употей - та ещё идея. Просто остались правила со старой железки и они отрабатывали. А тут не захотели. Я такое уже проходил, что правила переставали работать как надо, а после обновления всё в норму приходило
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3470
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: RAW

Сообщение Chupaka »

Так а что сапорт скажет, раз всё работает корректно?

Пример: подключаемся SSH'ем с машины 192.168.192.168 на 1.1.1.1.

На роутер прилетает пакет 192.168.192.168:45282 -> 1.1.1.1:22. Ни под in-interface-list=iNET, ни под src-address-list= zz_xPORT_SCANNER он не попадает, поэтому улетает к серверу. Сервер отвечает пакетом 1.1.1.1:22 -> 192.168.192.168:45282. in-interface-list=iNET и src-address-list= zz_xPORT_SCANNER - нет причины его НЕ дропнуть!

Если же в правиле добавить protocol=tcp dst-port=22 - то при попытке 1.1.1.1 достучаться к нам на SSH пакеты будут, естественно, дропаться, но если мы на сервер лезем - то в ответном пакете "1.1.1.1:22 -> 192.168.192.168:45282" значение dst-port не равно 22 (ибо 22 у нас в параметре src-port для ответных пакетов), поэтому пакет дропнут не будет.

Так понятнее?..