Mikrotik. Особенность обрыва и появления трафика?

Question

[r3aly]

Всем привет! Подскажите, обратил внимание что на устройствах на ROS, если допустим заблокировать доступ к хосту/подсети с помощью firewall -> filter rules, в тот момент пока на клиентском ПК идет, допустим пинг до блокируемого хоста, то пинг после блокировки все равно продолжает идти, пока не закончишь пинговать этот хост.

т.е. если я правильно понимаю, ROS не сбрасывает текущую сессию, открытую до начала блокировки?

И на такую же вещь обратил, у меня схема с failover с двумя провайдерами в другой организации, время переключения между ними в случае отказа, около 10 секунд. так вот если основной пров отключить, на клиенте после этого выполнить ping ya.ru -t и подождать 10 секунд что бы стал активен второй пров, то он в текущем окне пинга так и не ответит, но при этом открыть еще одно окно уже после этих 10 секунд, то все будет работать.

На SOHO-роутерах типа D-link, asus и прочего, такого никогда не видел. Заблокировал клиентский доступ - так он в текущую секунду блокирует доступ. (то есть пингуешь хост, увидел что все, больше ты его не пингуешь, в том же окне)

Здесь же, такое ощущение что он текущую сессию не обрывает, или наоборот если начать пытаться отправить что-то куда-то, и только после, открыть доступ - также на текущую сессию ему пофиг. Причем это применительно любого типа трафика к хосту (icmp, udp, tcp etc). Это нормально? Или это особенность "маскарадинга" на ROS? Спасибо.

Answer 1

[Дмитрий]

Не зная ВСЕХ ваших правил, на этот вопрос ответить нереально.
Могу лишь попробовать угадать: у вас есть правило разрешающее "established" соединения.

Answer 2

[r3aly]

Правил можно сказать и нету, т.е. я всегда ставлю не заливать "дефолтовый конфиг". в правилах filter rules абсолютно пусто. но так же пробовал и с "дефолт конфигом".

Сейчас проверил и действительно с пингом при блокировки, конкретного хоста все нормально. А вот попробуйте допустим, отключить маскарадинг - и перед этим поставить ping ya.ru -t то он будет продолжать пинговать текущий хост и после отключения маскарадинга. После отключения начинаем пинговать mail.ru -t он не пингуется (ведь маскарадинг же выключен) включаем маскарадинг, и еще пару минут данный хост не будет отзываться! Хотя должен был бы уже. При этом любой новый хост который будет поставлен на ping после включения маскардинга - будет отвечать сразу.

Это жутко не удобно, если допустим работаешь с каким-нибудь постоянным хостом через интернет (например терминальным сервером), случается обрыв связи, твой пк все равно пытается восстановить связь, тем самым пытаясь отправить еще пакеты. Микрот переключается на резервный канал, но происходит примерно все тоже самое что я описал выше, в итоге твой простой выходит дольше. хотя инет уже на роутере есть.