Несколько вопросов (ipsec, мак адреса, neignbors)

[ArtVAnt]

Еще не разобрался вот с этими правилами:
add action=accept chain=input comment=dhcp dst-port=67 in-interface-list=\
!Internet protocol=udp
add action=accept chain=input dst-port=68 in-interface-list=!Internet \
protocol=udp

Для чего они нужны? От провайдера адрес получаю по dhcp.

DHCP работает на уровне raw socket'ов.
Так что если вы этот же ip firewall не спускаете на уровень ниже - на bridge, они просто не нужны.
На уровне ip вы его не заблочите, даже если захотите.

Для чего тогда на вики микротика есть подобное запрещающие правило по 67-68 портам?
https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter

[xvo]

Для чего тогда на вики микротика есть подобное запрещающие правило по 67-68 портам?
https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter

Есть подозрение что в тех примерах вообще сбрасываются в основном всякие "невозможные" пакеты: обратите внимание, что там даже не udp, а tcp - то есть это вообще не может быть "рабочий" dhcp.

Более того, для нормально-закрытого firewall'а это все вообще не надо: последнее "drop everything else" правило в любом случае сбросит весь мусор.
Поэтому в дефолтных конфигурациях ничего подобного нет.

Кстати, раз уж в эту тему углубились, для ipv6 все по-другому и там подобные правила (запрещающие или разрешающие) вполне имеют смысл - dhcpv6 работает на стандартном стеке и прекрасно ловится firewall'ом.