Проблема с drop invalid connections.
Добавлено: 26 авг 2014, 13:51
Добрый день!
Прошу помощи в небольшой проблеме:
ROS 6.18
Есть bridge c настроенными подсетями 10.0.1.0/24, 10.0.3.0/24. Суть в следующем: очень медленно открывается страница на веб сервере 10.0.3.10 с любого компьютера из 10.0.1.0/24 при включенном правиле add chain=forward protocol=tcp connection-state=invalid action=drop. В логе микротика по этому правилу вижу следующее:
13:57:10 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK), 10.0.1.95:63140->10.0.3.10:80, len 40
13:57:10 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:11 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:11 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:12 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:14 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK), 10.0.1.95:63140->10.0.3.10:80, len 52
13:57:15 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
Как только отключаю правило все идеально работает.
Может это правило вовсе отключить, или есть другой способ обойти проблему?
Если необходимо могу выложить конфиг микротика.
Прошу помощи в небольшой проблеме:
ROS 6.18
Есть bridge c настроенными подсетями 10.0.1.0/24, 10.0.3.0/24. Суть в следующем: очень медленно открывается страница на веб сервере 10.0.3.10 с любого компьютера из 10.0.1.0/24 при включенном правиле add chain=forward protocol=tcp connection-state=invalid action=drop. В логе микротика по этому правилу вижу следующее:
13:57:10 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK), 10.0.1.95:63140->10.0.3.10:80, len 40
13:57:10 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:11 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:11 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:12 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:14 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK), 10.0.1.95:63140->10.0.3.10:80, len 52
13:57:15 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
Как только отключаю правило все идеально работает.
Может это правило вовсе отключить, или есть другой способ обойти проблему?
Если необходимо могу выложить конфиг микротика.