Фильтрация входящего трафика FILTER и RAW
Добавлено: 05 апр 2020, 05:15
Добрый день, специалисты
Прошу помощи с загадочным (для меня) поведением роутера. Дано - белый IP снаружи, некоторые порты открыты для входящих подключений из WAN. Все адреса, которые обращаются к другим портам помещаются в mangle в черный список, и режутся в filter:
/ip firewall filter add action=drop chain=input comment=«drop black list connections» \connection-state="" in-interface-list=WAN src-address-list=blacklist
Все работает корректно (список заблокированных адресов растет - душа поёт, проблем с исходящими соединениями из локалки в интернет нет). Но наши руки - не для скуки, в сети наткнулся на мнение, что кошернее рубить входящие соединения в RAW prerouting (экономия ресурсов процессора). Рассудив что вроде бы да, звучит логично, творю:
/ip firewall raw add action=drop chain=prerouting comment=«drop black list connections» \in-interface-list=WAN src-address-list=blacklist
и довольно потирая руки (столько ресурсов процессора сэкономил же) иду спать. Утром довольный пытаюсь выйти в интернет с разных устройств - а никак. Совсем никак. Лезу в Winbox, не вижу ничего криминального (соединение с провайдером есть, туннель поднят, адреса внутрь раздаются), первым делом отключаю созданное накануне правило в RAW и включаю в FILTER, и о, чудо, все работает (черный список для обоих правил один и тот же). Очищаю список руками, опять включаю фильтрацию в RAW и по мере наполнения списка адресами кулхацкеров, доступ в сеть для локальных машин умирает (причем не одновременно ко всем адресам, а постепенно, но достаточно быстро, первые мгновения пинги наружу проходят по ip, но чуть погодя и это прекращается).
Ну собственно вопрос - почему?
Прошу помощи с загадочным (для меня) поведением роутера. Дано - белый IP снаружи, некоторые порты открыты для входящих подключений из WAN. Все адреса, которые обращаются к другим портам помещаются в mangle в черный список, и режутся в filter:
/ip firewall filter add action=drop chain=input comment=«drop black list connections» \connection-state="" in-interface-list=WAN src-address-list=blacklist
Все работает корректно (список заблокированных адресов растет - душа поёт, проблем с исходящими соединениями из локалки в интернет нет). Но наши руки - не для скуки, в сети наткнулся на мнение, что кошернее рубить входящие соединения в RAW prerouting (экономия ресурсов процессора). Рассудив что вроде бы да, звучит логично, творю:
/ip firewall raw add action=drop chain=prerouting comment=«drop black list connections» \in-interface-list=WAN src-address-list=blacklist
и довольно потирая руки (столько ресурсов процессора сэкономил же) иду спать. Утром довольный пытаюсь выйти в интернет с разных устройств - а никак. Совсем никак. Лезу в Winbox, не вижу ничего криминального (соединение с провайдером есть, туннель поднят, адреса внутрь раздаются), первым делом отключаю созданное накануне правило в RAW и включаю в FILTER, и о, чудо, все работает (черный список для обоих правил один и тот же). Очищаю список руками, опять включаю фильтрацию в RAW и по мере наполнения списка адресами кулхацкеров, доступ в сеть для локальных машин умирает (причем не одновременно ко всем адресам, а постепенно, но достаточно быстро, первые мгновения пинги наружу проходят по ip, но чуть погодя и это прекращается).
Ну собственно вопрос - почему?