Настроил 951 Микротик по одному мануалу со следующими правилами в фаерволе:
0 chain=input action=accept protocol=icmp
1 chain=input action=accept connection-state=established,related
2 chain=output action=accept connection-state=!invalid
3 chain=forward action=accept connection-state=established,new src-address=192.168.88.0/24 in-interface=bridge-local out-interface=lte1
4 chain=forward action=accept connection-state=established,related in-interface=lte1 out-interface=bridge-local
5 chain=forward action=accept connection-state=established,new src-address=192.168.111.0/24 in-interface=bridge-guest out-interface=lte1
6 chain=forward action=accept connection-state=established,related in-interface=lte1 out-interface=bridge-guest
7 chain=input action=accept connection-state=new protocol=tcp src-address=192.168.88.0/24 in-interface=bridge-local dst-port=80,8291
8 chain=input action=drop
9 chain=output action=drop
10 chain=forward action=drop
Есть основная сеть и дополнительно гостевой вайфай без доступа в основную сеть. Интернет через LTE1.
В итоге при работе с FTP-сервером через Filezilla получаю задержки по 1-2 секунды при листинге директории или начале копирования файла (сама скорость копирования ок). При работе через TotalCommander такого нет.
Обнаружил, что на процесс влияет последнее #10 правило фаервола. Включил ему логирование с префиксом test:
12:28:38 firewall,info test forward: in:bridge-local out:lte1, src-mac aa:bb:cc:dd:ee:ff, proto TCP (SYN), 192.168.88.99:51722->111.222.111.222:12025, NAT (192.168.88.99:51722->192.168.0.2:51722)->111.222.111.222:12025, len 52
Почему оно срабатывает? Ведь вроде бы разрешен форвардинг такого типа в правиле #3. Как правильно настроить фаервол в таком случае?
Простой
Сложный
