Firewall - mikrotik. connection-state=established

Busla · Отправлено: **10:42, 15-11-2017** | #2

Опиум, это у Cisco двойные стандарты: в случае NAT она внутри себя формирует признак established не только для TCP, а для firewall это вдруг невозможно.

Опиум · Отправлено: **12:34, 15-11-2017** | #3

Busla, спасибо.
Но если речь о gre туннеле (протоколе), то какой там простигосподи NAT задействован?
Это я клоню к тому что в микротике правило запрещающее 47 протокол в инпут цепочке не отрабоатывало после правила

Код:

add action=accept chain=input  connection-state=established

freese · Конфигурация компьютера

потму что запрещающее должно стоять до разрешающих, обрабатывает последовательно

Опиум · Отправлено: **23:19, 15-11-2017** | #5

freese, это то понятно.
Непонятно почему протокол gre причислен к протоколам устанавливающим соединение.
Когда микротик решает что соединение established? А когда уже нет..

Busla · Отправлено: **09:37, 16-11-2017** | #6

Цитата Опиум:

Когда микротик решает что соединение established? »

к сожалению, на Микротики отвратная документация. Так что работу чуть ли не каждого правила стоит перепроверять :-/

Цитата Опиум:

Непонятно почему протокол gre причислен к протоколам устанавливающим соединение. »

А он не устанавливает соединение? - там вполне явно разделены фазы установки соединения и его эксплуатации.

Опиум · Отправлено: **16:54, 16-11-2017** | #7

Цитата Busla:

А он не устанавливает соединение? - там вполне явно разделены фазы установки соединения и его эксплуатации. »

насколько я знаю нет, какие там фазы? это просто протокол инкапсуляции...

freese · Конфигурация компьютера

Опиум, у вас в чем конкретно проблема?

Цитата Опиум:

Когда микротик решает что соединение established? А когда уже нет.. »

вы занимаетесь реверс-инжинирингом? Можете разработчикам написать, они вам может быть и расскажут логику (хотя вряд ли)

Опиум · Отправлено: **17:53, 16-11-2017** | #9

Цитата freese:

у вас в чем конкретно проблема? »

))
как я это указал выше у меня проблема в понимании. Если ты понимаешь как работает железка, значит и применяешь её правильно, а не "сделано на отъе*ись".

если у тебя есть понимание, что такое "established" для не-TCP в микротиках, то буду благодарным слушателем.

freese · Конфигурация компьютера

Цитата Опиум:

если у тебя есть понимание, что такое "established" для не-TCP в микротиках, то буду благодарным слушателем. »

нет, нет полного понимания, но могу только сказать что у тика правила обычно чем то завязаны, и выше приведенное разрешается для чего то и должно быть рядом правило
и уже рядышком ваше /ip firewall filter add chain=input connection-state=established ... блаблабла