Как микротик отличает input/forward из внешней сети?
Допустим я создал правило firewall, в котором запрещаю весь input трафик на микротик из внешней сети. Но при этом у меня на микртоике включен NAT, и я решил пробросить 22 порт, для удаленного подключения к одному их хостов в локальной сети.
Как микротик отреагирует на пакет из внешней сети? Я предположил два варианта, и не знаю какой из них верный?
1)Сначала отработает NAT, признает этот пакет как forward, а потом firewall его пропустит.
2)Сначала пакет обработает firewall, увидит, что destination внешний адрес роутера, а не локального узла, признает пакет как input и не пропустит
Схема прохождения пакетов через цепочки netfilter (которые суть те же самые в микротике, потому что это линух) с учетом моментов обработки IPSec, которой я сам пользуюсь в ежедневной работе. Распечатай и повесь на стенку. Вопросы отпадут сразу.
Блин, зачем давать "левак", пусть даже формально верный, когда на вики микротика packet flow расписан подробнейшим образом со всех возможных ракурсов и для удобства разбит на более мелкие ситуативные диаграммы? Всё разжевано и в рот положено.
Ziptar, Это не "левак", а схема прохождения пакетов netfilter в линухе, на котором собственно микротик и основан. На ней в одной схеме наглядней некуда показан весь путь пакета от входа до выхода (и уточнен момент, когда происходит обработка IPSec policy, что на многих схемах опущено).
А по микротиковскому мануалу нужно сигать туда-сюда постоянно.
CityCat4, по мне лучше, когда схема тематически разделена, чем когда все в кучу. А "сиганием" никакой проблемы нет, ибо нет потребности, как правило. Либо нужен узкий момент, либо общая схема без подробностей.
https://ittricks.ru/administrirovanie/linux/531/ip... здесь очень подробно описывается последовательность шагов.
Самая суть в после6днем абзаце сразу за схемой. Кто первым будет обрабатывать пакет зависит от самих правил. Например nat работает перед INPUT и обязательно решит, отправлять пакет в INPUT или маршрутизировать пакет согласно таблице маршрутизации.
Но насколько я помню, если вы прописали SNAT и не меняли у входящего пакета --to-source, а адрес отправителя явно задан в INPUT как DROP, то пакет дропнется.
Первый вариант. Если ip-пакет адресован на локальный адрес роутера, и нет правил DNAT, которые перенаправят его на какой-то внешний ip-адрес, то будет проверяться цепочка input, а иначе - forward.