Имеется железка hap ac (RB962UiGS), на файрволле которой настроено несколько правил:
Код: Выделить всё
/ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; Antizapret SSL
chain=forward action=drop tcp-flags=rst protocol=tcp in-interface=ether1 src-port=443 log=no log-prefix="antizapret_ssl"
2 ;;; unlock http rostelecom
chain=forward action=drop protocol=tcp src-port=80 content=Location: http://warning.rt.ru/? log=no log-prefix=""
3 chain=forward action=drop protocol=tcp src-port=80 content=Location: http://77.37.254.90/ log=no log-prefix=""
4 ;;; defconf: accept established,related
chain=input action=accept connection-state=established,related
5 X ;;; defconf: fasttrack
chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
Заметил крайне странную особенность: при включенном fasttrack правила 2 и 3 не отрабатывают. Счетчик пакетов и байт на этих правилах растет корректно, но пакеты не дропаются. Как только отключаешь правило fasttrack - все начинает работать так, как должно. Но при отключенном fasttrack сильно вырастает нагрузка на CPU при большом потоке.
Как сделать так, чтобы и fasttrack работал, и правила DROP отрабатывали так, как должны?