@DVoropaev
Ставлю + к карме на хабре за ответы на вопросы

Как микротик отличает input/forward из внешней сети?

Допустим я создал правило firewall, в котором запрещаю весь input трафик на микротик из внешней сети. Но при этом у меня на микртоике включен NAT, и я решил пробросить 22 порт, для удаленного подключения к одному их хостов в локальной сети.
Как микротик отреагирует на пакет из внешней сети? Я предположил два варианта, и не знаю какой из них верный?
1)Сначала отработает NAT, признает этот пакет как forward, а потом firewall его пропустит.
2)Сначала пакет обработает firewall, увидит, что destination внешний адрес роутера, а не локального узла, признает пакет как input и не пропустит
  • Вопрос задан
  • 1332 просмотра
Решения вопроса 2
@Drill
Упрощенная схема прохождения пакетов.
5ef31a1dd03d6228754831.jpeg
Ответ написан
Комментировать
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
Держи, чувак

Схема прохождения пакетов через цепочки netfilter (которые суть те же самые в микротике, потому что это линух) с учетом моментов обработки IPSec, которой я сам пользуюсь в ежедневной работе. Распечатай и повесь на стенку. Вопросы отпадут сразу.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
flapflapjack
@flapflapjack
на треть я прав
https://ittricks.ru/administrirovanie/linux/531/ip... здесь очень подробно описывается последовательность шагов.
Самая суть в после6днем абзаце сразу за схемой. Кто первым будет обрабатывать пакет зависит от самих правил. Например nat работает перед INPUT и обязательно решит, отправлять пакет в INPUT или маршрутизировать пакет согласно таблице маршрутизации.

Но насколько я помню, если вы прописали SNAT и не меняли у входящего пакета --to-source, а адрес отправителя явно задан в INPUT как DROP, то пакет дропнется.
Ответ написан
Первый вариант. Если ip-пакет адресован на локальный адрес роутера, и нет правил DNAT, которые перенаправят его на какой-то внешний ip-адрес, то будет проверяться цепочка input, а иначе - forward.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы