PBR - размещение правил в цепочках

Базовая функциональность RouterOS
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

PBR - размещение правил в цепочках

Сообщение ns88ns »

Доброго...

Для организации PBR часто вижу наборы правил, суть которых такова:

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=input in-interface=ether1 new-connection-mark=mark1 passthrough=yes
add action=mark-connection chain=input in-interface=ether2 new-connection-mark=mark2 passthrough=yes
add action=mark-routing chain=output connection-mark=mark1 new-routing-mark=mrout1 passthrough=no
add action=mark-routing chain=output connection-mark=mark2 new-routing-mark=mrout2 passthrough=no
В принципе, что они делают - понятно. Непонятно вот что: расположение правил везде и у всех, практически одинаковое: mark-connection - в input, а mark-routing - в output.

если трафик транзитный через роутер, то почему правила размещаются в цепочках input/output? Ведь транзитный траффик в эти цепочки не попадает согласно Packet Flow (https://wiki.mikrotik.com/wiki/Manual:Packet_Flow)

action=mark-routing - так и вообще надо делать в prerouting, еще до routing decission - разве нет?


Еще вопрос про passthrough= - в документации он не оисан. Как работает action=passthrough - понятно. А как работает action=mark-routing ... passthrough=no - не очень понятно.

Может ли кто-то растолковать?

С уважением.
evgeniy7676
Сообщения: 58
Зарегистрирован: 19 май 2016, 14:52

Re: PBR - размещение правил в цепочках

Сообщение evgeniy7676 »

ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

Re: PBR - размещение правил в цепочках

Сообщение ns88ns »

evgeniy7676 - спасибо.

Из этого я делаю вывод, что мои предположения верны, а используемые в примерах конфигураций правила действуют только на трафик к/от самого роутера.

Насчет passthrough - в этих правилах passthrough=yes работает аналогично action=return ?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: PBR - размещение правил в цепочках

Сообщение Chupaka »

Приветствую.

Да, это правила для трафика самого роутера. В output маркировку делают потому, что трафик роутера в prerouting не попадает, и в output приходится делать Routing Adjustment.

Аналогия action=return - это passthrough=no на сработавшем правиле. А passthrough=yes - это выполнение action у данного правила и обработка следующих правил, которые могут, в числе прочего, переопределить уже заданную routing-mark, например.
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

Re: PBR - размещение правил в цепочках

Сообщение ns88ns »

Да, все правильно - то я в написании ошибся.

Спасибо.