Не срабатывает правило!

Обсуждение ПО и его настройки
insurted
Сообщения: 7
Зарегистрирован: 29 янв 2013, 13:59

Добрый день всем.
Случилась проблема, в filter rules созданы правило для прямого выхода в интернет для определенных IP адресов в сети. До недавнего времени все отрабатывалось отлично, и новый правила сразу работали.
Сейчас при создании правила на полный доступ (chain forward) оно не срабатывает, пакеты по данному правилу не ходят.
Причем старые правила работают.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

значит выше есть совпадение, которое срабатывает и далее пакет не рассматривается в фильтре.
показывайте
/ip firewall filter print
и рассказывайте по нему, какой номер не работает.


insurted
Сообщения: 7
Зарегистрирован: 29 янв 2013, 13:59

Очень много правил.
Совпадений нет точно, это проверено.
Правила все уникальные, создаются без извращений по одному принципу.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну наше дело предложить свою помощь!


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

insurted писал(а):Очень много правил.
Совпадений нет точно, это проверено.
Правила все уникальные, создаются без извращений по одному принципу.

Да не в уникальности дело! Правила срабатывают строго по порядку, причем если правила взаимоисключающие, сработает правило с меньшим номером, а с большим будет проигнорировано. У Вас видимо именно такой случай. Тем более, если правил много...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
insurted
Сообщения: 7
Зарегистрирован: 29 янв 2013, 13:59

Flags: X - disabled, I - invalid, D - dynamic
0 ;;; , , !!!
chain=forward action=accept src-address-list=\A8\EB\EA\E8\ED \CC\E8\F5\E0\E8\EB
1 ;;;
chain=input action=drop protocol=tcp src-address-list=blacklist dst-port=22,8291
2 ;;;
chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bruteforce_stage3 address-list=blacklist address-list-timeout=1d dst-port=22,8291
3 ;;;
chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bruteforce_stage2 address-list=bruteforce_stage3 address-list-timeout=1m dst-port=22,8291
4 ;;;
chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bruteforce_stage1 address-list=bruteforce_stage2 address-list-timeout=1m dst-port=22,8291
5 ;;;
chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address=192.168.5.54 address-list=bruteforce_stage1 address-list-timeout=1m dst-port=22,8291
6 chain=forward action=accept src-address=192.168.7.9
7 ;;; , ...
chain=forward action=accept src-address=192.168.0.26
8 chain=forward action=accept src-address=192.168.0.66
9 ;;;
chain=forward action=accept src-address=192.168.7.100
10 ;;;
chain=forward action=accept src-address=192.168.0.69
11 ;;; ipsec
chain=input action=accept protocol=ipsec-esp
12 chain=forward action=accept src-address=192.168.1.122
13 ;;; ipsec
chain=input action=accept protocol=udp dst-port=500
14 ;;; gre
chain=input action=accept protocol=gre
15 ;;; TCP
chain=input action=accept connection-state=established protocol=tcp
16 ;;; TCP
chain=input action=accept connection-state=related protocol=tcp
17 ;;;
chain=input action=accept src-address-list=Lan base
18 ;;;
chain=input action=accept src-address-list=Lan \F4\E8\EB\E8\E0\EB\EE\E2

19 chain=input action=accept protocol=icmp
20 ;;; HTTPS new
chain=input action=accept connection-state=new protocol=tcp dst-address-list=\EF\F0\FF\EC\EE\E9 \E4\EE\F1\F2\F3\EF in-interface=Wan1 dst-port=443
21 X chain=input action=accept connection-state=new protocol=tcp dst-address=********** in-interface=Wan2 dst-port=40040
20 ;;; HTTPS new
chain=input action=accept connection-state=new protocol=tcp dst-address-list=\EF\F0\FF\EC\EE\E9 \E4\EE\F1\F2\F3\EF in-interface=Wan1 dst-port=443
21 X chain=input action=accept connection-state=new protocol=tcp dst-address=********* in-interface=Wan2 dst-port=40040
22 ;;; postfix
chain=input action=accept connection-state=new protocol=tcp dst-address=********* in-interface=Wan2 dst-port=25,110,8080
23 ;;; VoIP
chain=forward action=accept src-address=192.168.1.69
24 chain=forward action=accept src-address=192.168.0.197
25 chain=input action=accept protocol=tcp dst-address=91.191.254.154 in-interface=Wan3 dst-port=1723,25,50,500,47,23
26 X chain=input action=accept connection-state=new protocol=ipsec-esp dst-address=rface=Wan2
27 chain=forward action=accept src-address=192.168.2.197
28 ;;; FFrontVPN in
chain=input action=accept connection-state=new protocol=tcp dst-address=192.168.0.15 dst-port=1723
29 ;;; for ftp ecar
chain=forward action=accept dst-address-list=netangels.ru
30 X chain=input action=accept connection-state=new protocol=tcp dst-address=erface=Wan2 dst-port=1723,50
31 X chain=input action=accept protocol=gre dst-address=192.168.0.15
32 ;;;
chain=input action=drop
33 chain=forward action=accept src-address=192.168.5.54
34 ;;; 1
chain=forward action=accept src-address=192.168.0.44
35 ;;;
chain=forward action=accept src-address-list=Lan base dst-address-list=Lan \F4\E8\EB\E8\E0\EB\EE\E2
36 ;;;
chain=forward action=accept src-address-list=Lan \F4\E8\EB\E8\E0\EB\EE\E2 dst-address-list=Lan base
37 ;;; WEB in
chain=forward action=accept connection-state=new protocol=tcp dst-address=192.168.0.7
38 ;;;
chain=forward action=accept src-address=192.168.5.219
39 X chain=forward action=accept src-address=192.168.1.55
40 chain=forward action=accept src-address=192.168.7.8
41 ;;; WEB out
chain=forward action=accept connection-state=new protocol=tcp src-address=192.168.0.7
42 ;;;
chain=forward action=accept connection-state=established protocol=tcp
43 ;;;
chain=forward action=accept connection-state=related protocol=tcp
43 ;;;
chain=forward action=accept connection-state=related protocol=tcp
44 ;;; icmp
chain=forward action=accept protocol=icmp
45 ;;; HTTP
chain=forward action=accept connection-state=new protocol=tcp src-address-list=\EF\F0\FF\EC\EE\E9 \E4\EE\F1\F2\F3\EF in-interface=Lan dst-port=80
46 ;;; Foratek dns, ntp
chain=forward action=accept protocol=udp src-address-list=\EF\F0\FF\EC\EE\E9 \E4\EE\F1\F2\F3\EF in-interface=Lan out-interface=Wan1 dst-port=53,123
47 ;;; Foratek dns, ntp
chain=forward action=accept protocol=udp dst-address-list=\EF\F0\FF\EC\EE\E9 \E4\EE\F1\F2\F3\EF in-interface=Wan1 out-interface=Lan src-port=53,123
48 ;;; -
chain=forward action=accept src-address-list=\CA\EB\E8\E5\ED\F2-\E1\E0\ED\EA\E8 \F4\E8\ED\EE\E2


insurted
Сообщения: 7
Зарегистрирован: 29 янв 2013, 13:59

В частности не срабатывает правило 40 на ip 192.168.7.8


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

странные правила конешно.
1. я нигде не увидел глобальный drop на цепочку forward, т.е. даже без вашего правила должно работать.

2.

Код: Выделить всё

0 ;;; , , !!!
chain=forward action=accept src-address-list=\A8\EB\EA\E8\ED \CC\E8\F5\E0\E8\EB

адрес случайно не здесь?

вообще, что оно должно сделать? как вы понимаете что оно не срабатывает? счётчик не изменяется на правиле? или адрес 192.168.7.8 не маршрутизируется?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Может просто поднять правило вверх? Раз оно разрешающее, пусть оно у него стоит вверху. На нулевой отметке.
Или 32 правило опустить пониже, оно же часть пакетов дропает. Или тут нет зависимости?
Правил конечно жуть. :D И порядок у них более чем странный. Ну, хозяин - барин.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
insurted
Сообщения: 7
Зарегистрирован: 29 янв 2013, 13:59

Счетчик не меняется. Правила делались в порядке надобности.
Правила на другие адреса срабатывают и ниже и выше. Но только старые.


Ответить