Фильтр по connection mark работает криво?

Обсуждение ПО и его настройки
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

1)открывается новая сессия, но метка осталась


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Значит кто-то где-то её продолжает проставлять.


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

В первом посте полный(не редактированный, ну только шапку с серийниками и т.д. снёс) вывод ip firewall mangle export
Можете убедиться нет там ничего такого.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну так может она где-то еще используется.
Не как действие, а как условие.


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

ip firewall export тоже ничего с 111 не выдаёт. А где ещё может использоваться метка соединения я чёт не соображу.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

NAT, потом ещё firewall/mangle для IPv6.
Навскидку тоже больше ничего в голову не приходит.

Но у себя на роутерах я нигде "зависших" connection-mark'ов не вижу.
Если это и баг, то какой-то из последних версий ROS.


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Сделал export file config
Поиском 111 тоже не находится.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вполне может быть, что это баг новых версий ROS.


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Вот вывалилась куча событий типа
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,FIN), 192.168.66.2:54609->178.248.233.33:443, len 40
и
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:54609->178.248.233.33:443, len 40
Добавил логирование в фаервольное правило дроп инвалид. Если наша гипотеза правильная, то логи мангл будут с фаервольными перемешаны.


Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Да, гипотеза верная, фигачат одновременно
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:52343->178.248.233.33:443, len 40
drop invalid forward: in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:52343->178.248.233.33:443, len 40
Но возникает вопрос: почему такое происходит? Неправильные пакеты от моего компа, а не из интернета летят.
И, кстати, вроде все эти пакеты на 443 порт, но на разные IP.


Ответить