Фильтр по connection mark работает криво?
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
1)открывается новая сессия, но метка осталась
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Значит кто-то где-то её продолжает проставлять.
Telegram: @thexvo
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
В первом посте полный(не редактированный, ну только шапку с серийниками и т.д. снёс) вывод ip firewall mangle export
Можете убедиться нет там ничего такого.
Можете убедиться нет там ничего такого.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну так может она где-то еще используется.
Не как действие, а как условие.
Не как действие, а как условие.
Telegram: @thexvo
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
ip firewall export тоже ничего с 111 не выдаёт. А где ещё может использоваться метка соединения я чёт не соображу.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
NAT, потом ещё firewall/mangle для IPv6.
Навскидку тоже больше ничего в голову не приходит.
Но у себя на роутерах я нигде "зависших" connection-mark'ов не вижу.
Если это и баг, то какой-то из последних версий ROS.
Навскидку тоже больше ничего в голову не приходит.
Но у себя на роутерах я нигде "зависших" connection-mark'ов не вижу.
Если это и баг, то какой-то из последних версий ROS.
Telegram: @thexvo
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
Сделал export file config
Поиском 111 тоже не находится.
Поиском 111 тоже не находится.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Вполне может быть, что это баг новых версий ROS.
Telegram: @thexvo
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
Вот вывалилась куча событий типа
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,FIN), 192.168.66.2:54609->178.248.233.33:443, len 40
и
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:54609->178.248.233.33:443, len 40
Добавил логирование в фаервольное правило дроп инвалид. Если наша гипотеза правильная, то логи мангл будут с фаервольными перемешаны.
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,FIN), 192.168.66.2:54609->178.248.233.33:443, len 40
и
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:54609->178.248.233.33:443, len 40
Добавил логирование в фаервольное правило дроп инвалид. Если наша гипотеза правильная, то логи мангл будут с фаервольными перемешаны.
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
Да, гипотеза верная, фигачат одновременно
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:52343->178.248.233.33:443, len 40
drop invalid forward: in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:52343->178.248.233.33:443, len 40
Но возникает вопрос: почему такое происходит? Неправильные пакеты от моего компа, а не из интернета летят.
И, кстати, вроде все эти пакеты на 443 порт, но на разные IP.
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:52343->178.248.233.33:443, len 40
drop invalid forward: in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:52343->178.248.233.33:443, len 40
Но возникает вопрос: почему такое происходит? Неправильные пакеты от моего компа, а не из интернета летят.
И, кстати, вроде все эти пакеты на 443 порт, но на разные IP.