Не могу заблокировать ненужный трафик по forward

RIP, OSFP, BGP, MPLS/VPLS
dfijf38
Сообщения: 1
Зарегистрирован: 24 фев 2018, 13:56

Не могу заблокировать ненужный трафик по forward

Сообщение dfijf38 »

Всем привет, у меня не самая простая настройка файервола, по этой причине не могу разобраться как правильно выстроить правила, что бы заблокировать левый трафик по forward, в типичной настройке мы разрешаем established и related а так же все пакеты из нашей локалки в Интернет, ну и дальше блокируем все по forward, после чего все левое должно дропаться, но когда я это делают, у меня все равно блочится Интернет. И я не могу понять что за трафик у меня в итоге в forward дропается, dns запросов в нем нет, возможно это трафик в виде новых подключений, но если у нас разрешены все исходящие из локальной, то по идее новые блочится не будут. Возможно этот трафик это ответ который прилетает к нам после запроса о dns, но тогда как его правильно промаркеровать? Ну и буду признателен, если укажете на какие-то еще косяки в конфиге, они явно могут быть.

Изображение

Изображение

Изображение

Трафик если я его блокирую по forward, Интернет в этот момент пропадает, хотя исходящие из локальной сети в Интернет разрешены:
Изображение

Изображение


Изображение

Изображение
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Не могу заблокировать ненужный трафик по forward

Сообщение Chupaka »

Из скриншотов вообще ничего не понятно. Что вы блокируете, что значит "пропадает Интернет", почему вы считаете, что он не должен пропадать в этот момент?

Не вижу правила, которое безусловно разрешает established и related.