olegtsss 29 ноя 2021 в 12:00

Страх и ненависть в RouterOS: что такое сетевое соединение в ядре Linux (часть 3 — NAT и сетевые соединения)

6 мин

14K

Блог компании RUVDS.com*nix*Сетевые технологии*Системное администрирование*

+51

Комментарии 7

kterik 29 ноя 2021 в 19:57

Хочу уточнить: указанная особенность NAT проявляется даже в отсутствие стандартного первого правила firewall filters, разрешающего established и related пакеты?

olegtsss 29 ноя 2021 в 20:01

Посмотрите последнюю диаграмму, представленную в статье. Итак, пакет, скорее всего, идет по пути Prerouting -> Forward -> Postrouting. В каждой цепочке, он проходит через все блоки, которые она содержит. Т.е. Filter Forward (это где у вас скорее всего правила established и related). Потом пакеты летят в строну SRC-NAT так, как указано на диаграмме. Т.е. не зависимо, что у вас там в Filter Forward.

kterik 29 ноя 2021 в 22:20

Исследовали ли вы вопрос о том, в каких блоках диаграммы маршрутизатор принимает решение о принадлежности пакета определённому VRF, точнее, определённой Routing Mark? В частности, в случае деинкапсуляции IP-пакета из MPLS-пакета в рамках L3VPN?

olegtsss 30 ноя 2021 в 03:25

Нет, это выходит за рамки. По идее это должно быть в Routing Decision. Кстати на wiki есть схемы, применительно для MPLS:
help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS
wiki.mikrotik.com/wiki/Manual:Packet_Flow

kterik 30 ноя 2021 в 07:33

В этом случае, получается, соединение создаётся без учёта принадлежности пакета VRF. Отсюда и все грустные особенности VRF на RouterOS, особенно в случае потока трафика между двумя VRF, которые в норме должны общаться через внешний сетевой экран.

olegtsss 30 ноя 2021 в 10:59

Не используйте VRF )

kterik 30 ноя 2021 в 11:00

Не могу, надо )

Зарегистрируйтесь на Хабре, чтобы оставить комментарий