Фильтр по connection mark работает криво?

Обсуждение ПО и его настройки
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Почему возникают Invalid пакеты?
Неправильные флаги, неправильный порядок, неправильный размер.
Точными механизмами не интересовался, но это рабочий процесс.
Если конечно "нормальный" трафик ошибочно не помечается, как invalid.
Были не так давно прецеденты с gre.


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

А что за прецеденты? а то у меня тоже gre


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

У вас пакеты внутри gre.
А там была история что сами пакеты gre помечались как invalid.
Но это вроде уже давно поправили.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вот кстати и по этому вопросу объяснение нашлось в обсуждаемой сейчас на официальном форуме теме.

https://forum.mikrotik.com/viewtopic.php?f=2&t=177210

Получается, что это какая-то особенность линуксового ядра - оно слишком быстро выкидывает закрывающиеся TCP соединения из connection tracking'а (и из таблицы NAT в том числе) - и некоторые пакеты мало того, что могут улетать уже не принадлежа к своим прошлым соединениям, так они ещё и при этом не подвергаются src-nat'у и уходят как есть, со внутренними адресами в качестве src-address.

То есть это даже не чисто микротиковская фишка.

В свете этого, возможно не такая уж и плохая идея держать в цепочке ouput хотя бы пару правил - accept established,related и drop invalid.


Telegram: @thexvo
Ответить