Fasttrack и правила DROP

Обсуждение ПО и его настройки
Ответить
Shadow2091
Сообщения: 1
Зарегистрирован: 19 ноя 2017, 13:36

Добрый день!
Имеется железка hap ac (RB962UiGS), на файрволле которой настроено несколько правил:

Код: Выделить всё

/ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough
 1    ;;; Antizapret SSL
      chain=forward action=drop tcp-flags=rst protocol=tcp in-interface=ether1 src-port=443 log=no log-prefix="antizapret_ssl"
 2    ;;; unlock http rostelecom
      chain=forward action=drop protocol=tcp src-port=80 content=Location: http://warning.rt.ru/? log=no log-prefix=""
 3    chain=forward action=drop protocol=tcp src-port=80 content=Location: http://77.37.254.90/ log=no log-prefix=""
 4    ;;; defconf: accept established,related
      chain=input action=accept connection-state=established,related
 5 X  ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

Заметил крайне странную особенность: при включенном fasttrack правила 2 и 3 не отрабатывают. Счетчик пакетов и байт на этих правилах растет корректно, но пакеты не дропаются. Как только отключаешь правило fasttrack - все начинает работать так, как должно. Но при отключенном fasttrack сильно вырастает нагрузка на CPU при большом потоке.
Как сделать так, чтобы и fasttrack работал, и правила DROP отрабатывали так, как должны?


Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

Shadow2091 писал(а):Заметил крайне странную особенность: при включенном fasttrack правила 2 и 3 не отрабатывают. Счетчик пакетов и байт на этих правилах растет корректно, но пакеты не дропаются. Как только отключаешь правило fasttrack - все начинает работать так, как должно. Но при отключенном fasttrack сильно вырастает нагрузка на CPU при большом потоке.
Как сделать так, чтобы и fasttrack работал, и правила DROP отрабатывали так, как должны?

никак, почитайте про фасстрек на микротике


Ответить