Почему не работает правило DROP?

Question

[Данил]

Задача: создать белый список IP адресов, которые могут подключатся к моему VPN. На микротике поднят PPTP сервер, к нему логинятся такие же микротики.
Создал adress list в который допавил все ip которым хочу дать доступ. После этого добавил в Firewall -> Filter Rules вот такое правио:

Картинку лучше открыть в новой вкладке

А после него вот такое:

Картинку лучше открыть в новой вкладке

Ну и логика такая - разрешить моему списку, а все ост дропать. Но когда я удаляю из адрес листа чейто IP адрес то клиент дальше работает. Как сделать так, чтобы его больше не пускало?

UPD

[XXX@MikroTik] > /ip firewall export
# sep/29/2017 XX:56:52 by RouterOS X.XX.X
# software id = XXX
#
/ip firewall address-list
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=lXXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
add address=XXX.XXX.XXX.XXX comment=XXX list=dyndns_host
/ip firewall filter
add chain=input comment="Accept VPN" port=1723 protocol=tcp src-address-list=dyndns_host
add chain=forward port=1723 protocol=tcp src-address-list=dyndns_host
add action=drop chain=input port=1723 protocol=tcp
add action=drop chain=forward port=1723 protocol=tcp

Comments

[Wexter]

непонятно что у вас не работает. у вас блокируется всё подряд? не блокируется ничего? что не так то?

[Данил]

Wexter, не блокируется нечего

[Wexter]

Данил, в файрволе до этого других правил accept нет?

[Данил]

Wexter, Нету. Может я не правильно понимаю как работать должно? Я удаляю из адрес листа IP адрес, но клиент которые с него работает дальше работает.

Answer 1

[Виктор Бельский]

К правилу input drop, ещё нужно forward drop сделать.
Вообще дропать в конце, нужно все пакеты пришедшие на wan интерфейс
З.Ы. Если пользователь к вам уже подключился, то после удаления его из адрес листа, нужно ещё дропнуть его коннект, в ip firewall connections.

Answer 2

[Кирилл Васильев]

Покажите полностью без картинок
/ip firewall export

Comments

[Данил]

Обновил вопрос

[Кирилл Васильев]

Ну вот это совсем непонятно зачем

add action=drop chain=forward port=1723 protocol=tcp
add chain=forward port=1723 protocol=tcp src-address-list=dyndns_host

а что вы работаете без ната?
Точно не помню как часто, но pptp это сложный протокол требующий вторичного соединения GRE
Как часто клиент сверяет, если сверяет вообще данные на pptp сервере я не помню.
для того чтобы блочить уже существующие соединения вам необходимо добавить следующее

add chain=input comment="Accept VPN" protocol=gre src-address-list=!dyndns_host  action=drop

[Кирилл Васильев]

обратите внимания на восклицательный знак перед адрес листом

[Данил]

Спасибо, вы очень помогли, работает.