Косметический(?) вопрос про: connection-state=established,related...

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Zillah
Сообщения: 1
Зарегистрирован: 04 авг 2017, 07:20

Во всех примерах приводится подобное:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid


Но ведь можно указать и проще:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=!invalid,established,related


Вопрос насколько эти правила идентичны или это чисто для визуального восприятия?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Они обсалютно разные

add action=accept chain=input connection-state=established,related - разрешает established,related
add action=drop chain=input connection-state=invalid - дропает invalid
add action=accept chain=input connection-state=!invalid,established,related - разрешает все кроме invalid,established,related


Есть интересная задача и бюджет? http://mikrotik.site
Zillah
Сообщения: 1
Зарегистрирован: 04 авг 2017, 07:20

vqd писал(а):add action=accept chain=input connection-state=!invalid,established,related - разрешает все кроме invalid,established,related

Хм, действительно, не очевидно для меня это было GUI... :du_ma_et:

PS Теперь осталось разобраться почему при этом у меня все работало... :sh_ok:


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Смотрите остальные правила, возможно перед ним или после еще что то есть


Есть интересная задача и бюджет? http://mikrotik.site
poppy
Сообщения: 24
Зарегистрирован: 17 ноя 2017, 11:42

Zillah писал(а):Теперь осталось разобраться почему при этом у меня все работало... :sh_ok:


так и будет работать, invalid даже иногда будет проходить))


Zillah
Сообщения: 1
Зарегистрирован: 04 авг 2017, 07:20

vqd писал(а):Смотрите остальные правила, возможно перед ним или после еще что то есть

А вот дальше, вроде ничего интересного:

Код: Выделить всё

add action=accept chain=input comment="Accept icmp packets" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment="Accept ssh connections" dst-port=65322 protocol=tcp
add action=accept chain=input comment="GRE over IPSec tunnel" protocol=gre
add action=accept chain=input port=500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="Accept localnet to router connections" src-address-list=hqtnets
add action=accept chain=forward comment="Accept localnet to internet connections" src-address-list=hqtnets
add action=accept chain=input comment="Accept fabnet to router connections" src-address-list=fabnets
add action=accept chain=forward comment="Accept fabnet to localnet connections" src-address-list=fabnets
add action=accept chain=forward comment="Accept between externalnets and zmtnets connections" dst-address-list=zmtnets src-address-list=externalnets
add action=accept chain=forward dst-address-list=externalnets src-address-list=zmtnets
add action=accept chain=input comment="TEST Rule for src-nat & dst-nat" connection-nat-state=srcnat,dstnat disabled=yes
add action=accept chain=forward connection-nat-state=srcnat,dstnat log-prefix=FWD-ALLOW
add action=drop chain=input comment="All other Drop!"
add action=drop chain=forward log-prefix=FWD-DROP

:du_ma_et:

"TEST Rule (forward)" тут я думал над вариантами:
1) как везде пишут: drop forward !=dst-nated
2) просто разрешить forward =dst-nated, а в конце всеобщий drop
мне показалось так удобнее/нагляднее

poppy писал(а):так и будет работать, invalid даже иногда будет проходить))

При условии что established и related "дропаются"?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну при настройке фаервола надо стримится к минимальному кол-ву правил, а не к удобству. Если допустим вы вильтруете различные сегменты то есть смысл для каждого сегмента делать свой набор (jump) что бы микротик не лопатил всю таблицу


Есть интересная задача и бюджет? http://mikrotik.site
poppy
Сообщения: 24
Зарегистрирован: 17 ноя 2017, 11:42

poppy писал(а):так и будет работать, invalid даже иногда будет проходить))

При условии что established и related "дропаются"?[/quote]

речь про первый пост, там про дроп для established и related нет)


Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

Zillah писал(а): PS Теперь осталось разобраться почему при этом у меня все работало... :sh_ok:


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

Zillah писал(а): PS Теперь осталось разобраться почему при этом у меня все работало... :sh_ok:


vqd писал(а):Они обсалютно разные
add action=accept chain=input connection-state=!invalid,established,related - разрешает все кроме invalid,established,related


Что бы создавшему тему было понятнее дополню информацию, которую дал Вячеслав. Разрешение всего кроме invalid,established,related не значит, что эти виды соединений запрещаются.

Для большей понятности:
1. все кроме invalid,established,related разрешено.
2. invalid,established,related не запрещено.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
Ответить