Russian Users MikroTik | Форум пользователей MikroTik

1)открывается новая сессия, но метка осталась

Значит кто-то где-то её продолжает проставлять.

В первом посте полный(не редактированный, ну только шапку с серийниками и т.д. снёс) вывод ip firewall mangle export
Можете убедиться нет там ничего такого.

Ну так может она где-то еще используется.
Не как действие, а как условие.

ip firewall export тоже ничего с 111 не выдаёт. А где ещё может использоваться метка соединения я чёт не соображу.

NAT, потом ещё firewall/mangle для IPv6.
Навскидку тоже больше ничего в голову не приходит.

Но у себя на роутерах я нигде "зависших" connection-mark'ов не вижу.
Если это и баг, то какой-то из последних версий ROS.

Сделал export file config
Поиском 111 тоже не находится.

Вполне может быть, что это баг новых версий ROS.

Вот вывалилась куча событий типа
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,FIN), 192.168.66.2:54609->178.248.233.33:443, len 40
и
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:54609->178.248.233.33:443, len 40
Добавил логирование в фаервольное правило дроп инвалид. Если наша гипотеза правильная, то логи мангл будут с фаервольными перемешаны.

Да, гипотеза верная, фигачат одновременно
mangle forward connection mark : in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:52343->178.248.233.33:443, len 40
drop invalid forward: in:LAN-bridge out:gre1, src-mac b4:2e:99:91:a2:7e, proto TCP (ACK,RST), 192.168.66.2:52343->178.248.233.33:443, len 40
Но возникает вопрос: почему такое происходит? Неправильные пакеты от моего компа, а не из интернета летят.
И, кстати, вроде все эти пакеты на 443 порт, но на разные IP.