Страница 1 из 2
Не срабатывает правило!
Добавлено: 29 янв 2013, 14:03
insurted
Добрый день всем.
Случилась проблема, в filter rules созданы правило для прямого выхода в интернет для определенных IP адресов в сети. До недавнего времени все отрабатывалось отлично, и новый правила сразу работали.
Сейчас при создании правила на полный доступ (chain forward) оно не срабатывает, пакеты по данному правилу не ходят.
Причем старые правила работают.
Re: Не срабатывает правило!
Добавлено: 29 янв 2013, 14:51
simpl3x
значит выше есть совпадение, которое срабатывает и далее пакет не рассматривается в фильтре.
показывайте
/ip firewall filter print
и рассказывайте по нему, какой номер не работает.
Re: Не срабатывает правило!
Добавлено: 29 янв 2013, 14:55
insurted
Очень много правил.
Совпадений нет точно, это проверено.
Правила все уникальные, создаются без извращений по одному принципу.
Re: Не срабатывает правило!
Добавлено: 29 янв 2013, 15:17
simpl3x
ну наше дело предложить свою помощь!
Re: Не срабатывает правило!
Добавлено: 29 янв 2013, 20:07
podarok66
insurted писал(а):Очень много правил.
Совпадений нет точно, это проверено.
Правила все уникальные, создаются без извращений по одному принципу.
Да не в уникальности дело! Правила срабатывают строго по порядку, причем если правила взаимоисключающие, сработает правило с меньшим номером, а с большим будет проигнорировано. У Вас видимо именно такой случай. Тем более, если правил много...
Re: Не срабатывает правило!
Добавлено: 30 янв 2013, 05:42
insurted
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; , , !!!
chain=forward action=accept src-address-list=\A8\EB\EA\E8\ED \CC\E8\F5\E0\E8\EB
1 ;;;
chain=input action=drop protocol=tcp src-address-list=blacklist dst-port=22,8291
2 ;;;
chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bruteforce_stage3 address-list=blacklist address-list-timeout=1d dst-port=22,8291
3 ;;;
chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bruteforce_stage2 address-list=bruteforce_stage3 address-list-timeout=1m dst-port=22,8291
4 ;;;
chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bruteforce_stage1 address-list=bruteforce_stage2 address-list-timeout=1m dst-port=22,8291
5 ;;;
chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address=192.168.5.54 address-list=bruteforce_stage1 address-list-timeout=1m dst-port=22,8291
6 chain=forward action=accept src-address=192.168.7.9
7 ;;; , ...
chain=forward action=accept src-address=192.168.0.26
8 chain=forward action=accept src-address=192.168.0.66
9 ;;;
chain=forward action=accept src-address=192.168.7.100
10 ;;;
chain=forward action=accept src-address=192.168.0.69
11 ;;; ipsec
chain=input action=accept protocol=ipsec-esp
12 chain=forward action=accept src-address=192.168.1.122
13 ;;; ipsec
chain=input action=accept protocol=udp dst-port=500
14 ;;; gre
chain=input action=accept protocol=gre
15 ;;; TCP
chain=input action=accept connection-state=established protocol=tcp
16 ;;; TCP
chain=input action=accept connection-state=related protocol=tcp
17 ;;;
chain=input action=accept src-address-list=Lan base
18 ;;;
chain=input action=accept src-address-list=Lan \F4\E8\EB\E8\E0\EB\EE\E2
19 chain=input action=accept protocol=icmp
20 ;;; HTTPS new
chain=input action=accept connection-state=new protocol=tcp dst-address-list=\EF\F0\FF\EC\EE\E9 \E4\EE\F1\F2\F3\EF in-interface=Wan1 dst-port=443
21 X chain=input action=accept connection-state=new protocol=tcp dst-address=********** in-interface=Wan2 dst-port=40040
20 ;;; HTTPS new
chain=input action=accept connection-state=new protocol=tcp dst-address-list=\EF\F0\FF\EC\EE\E9 \E4\EE\F1\F2\F3\EF in-interface=Wan1 dst-port=443
21 X chain=input action=accept connection-state=new protocol=tcp dst-address=********* in-interface=Wan2 dst-port=40040
22 ;;; postfix
chain=input action=accept connection-state=new protocol=tcp dst-address=********* in-interface=Wan2 dst-port=25,110,8080
23 ;;; VoIP
chain=forward action=accept src-address=192.168.1.69
24 chain=forward action=accept src-address=192.168.0.197
25 chain=input action=accept protocol=tcp dst-address=91.191.254.154 in-interface=Wan3 dst-port=1723,25,50,500,47,23
26 X chain=input action=accept connection-state=new protocol=ipsec-esp dst-address=rface=Wan2
27 chain=forward action=accept src-address=192.168.2.197
28 ;;; FFrontVPN in
chain=input action=accept connection-state=new protocol=tcp dst-address=192.168.0.15 dst-port=1723
29 ;;; for ftp ecar
chain=forward action=accept dst-address-list=netangels.ru
30 X chain=input action=accept connection-state=new protocol=tcp dst-address=erface=Wan2 dst-port=1723,50
31 X chain=input action=accept protocol=gre dst-address=192.168.0.15
32 ;;;
chain=input action=drop
33 chain=forward action=accept src-address=192.168.5.54
34 ;;; 1
chain=forward action=accept src-address=192.168.0.44
35 ;;;
chain=forward action=accept src-address-list=Lan base dst-address-list=Lan \F4\E8\EB\E8\E0\EB\EE\E2
36 ;;;
chain=forward action=accept src-address-list=Lan \F4\E8\EB\E8\E0\EB\EE\E2 dst-address-list=Lan base
37 ;;; WEB in
chain=forward action=accept connection-state=new protocol=tcp dst-address=192.168.0.7
38 ;;;
chain=forward action=accept src-address=192.168.5.219
39 X chain=forward action=accept src-address=192.168.1.55
40 chain=forward action=accept src-address=192.168.7.8
41 ;;; WEB out
chain=forward action=accept connection-state=new protocol=tcp src-address=192.168.0.7
42 ;;;
chain=forward action=accept connection-state=established protocol=tcp
43 ;;;
chain=forward action=accept connection-state=related protocol=tcp
43 ;;;
chain=forward action=accept connection-state=related protocol=tcp
44 ;;; icmp
chain=forward action=accept protocol=icmp
45 ;;; HTTP
chain=forward action=accept connection-state=new protocol=tcp src-address-list=\EF\F0\FF\EC\EE\E9 \E4\EE\F1\F2\F3\EF in-interface=Lan dst-port=80
46 ;;; Foratek dns, ntp
chain=forward action=accept protocol=udp src-address-list=\EF\F0\FF\EC\EE\E9 \E4\EE\F1\F2\F3\EF in-interface=Lan out-interface=Wan1 dst-port=53,123
47 ;;; Foratek dns, ntp
chain=forward action=accept protocol=udp dst-address-list=\EF\F0\FF\EC\EE\E9 \E4\EE\F1\F2\F3\EF in-interface=Wan1 out-interface=Lan src-port=53,123
48 ;;; -
chain=forward action=accept src-address-list=\CA\EB\E8\E5\ED\F2-\E1\E0\ED\EA\E8 \F4\E8\ED\EE\E2
Re: Не срабатывает правило!
Добавлено: 30 янв 2013, 05:43
insurted
В частности не срабатывает правило 40 на ip 192.168.7.8
Re: Не срабатывает правило!
Добавлено: 30 янв 2013, 07:52
simpl3x
странные правила конешно.
1. я нигде не увидел глобальный drop на цепочку forward, т.е. даже без вашего правила должно работать.
2.
Код: Выделить всё
0 ;;; , , !!!
chain=forward action=accept src-address-list=\A8\EB\EA\E8\ED \CC\E8\F5\E0\E8\EB
адрес случайно не здесь?
вообще, что оно должно сделать? как вы понимаете что оно не срабатывает? счётчик не изменяется на правиле? или адрес 192.168.7.8 не маршрутизируется?
Re: Не срабатывает правило!
Добавлено: 30 янв 2013, 09:03
podarok66
Может просто поднять правило вверх? Раз оно разрешающее, пусть оно у него стоит вверху. На нулевой отметке.
Или 32 правило опустить пониже, оно же часть пакетов дропает. Или тут нет зависимости?
Правил конечно жуть.
И порядок у них более чем странный. Ну, хозяин - барин.
Re: Не срабатывает правило!
Добавлено: 30 янв 2013, 10:23
insurted
Счетчик не меняется. Правила делались в порядке надобности.
Правила на другие адреса срабатывают и ниже и выше. Но только старые.