Доброе время суток всем!Дома стоит у меня микрот, фаервол настраивал давно. Всё работало. Wifi в бридже вместе с внутренними езернетами.
Недавно, наслушавшись историй о прелестях (в частности - openvpn via udp), обновил routeros до текущей 7.5. Начал подтормаживать немного тырнет. Некритично, но я заметил. Полез смотреть - клиентам отдаётся по dhcp сервера DNS микрот (192.168.45.1) и 8.8.8.8. В фаерволе для ДНС прописаны правила:[MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid; D - dynamic
0 ;;; jump to kid-control rules
chain=forward action=jump jump-target=kid-control1 X chain=forward action=accept src-address=192.168.45.25
2 chain=forward action=accept src-address=192.168.45.10
3 chain=forward action=accept protocol=gre src-address=192.168.45.10
4 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=!managers address-list=CRACKERS
address-list-timeout=none-static in-interface=WAN dst-port=21,22,23,82915 chain=input action=reject reject-with=icmp-host-unreachable
src-address-list=CRACKERS6 ;;; established&related
chain=input action=accept connection-state=established,related8 ;;; invalid connections
chain=input action=drop connection-state=invalid9 chain=forward action=drop connection-state=invalid
10 ;;; For local configuration in accidents
chain=input action=accept in-interface=ether211 ;;; pings
chain=input action=accept protocol=icmp in-interface=!WAN12 ;;; DNS requests from LAN to me
chain=input action=accept connection-state=new protocol=udp
in-interface=br0 dst-port=5313 chain=input action=accept connection-state=new protocol=tcp
in-interface=br0 dst-port=5314 ;;; DNS requests from LAN to WAN
chain=forward action=accept connection-state=new protocol=udp
in-interface=br0 out-interface=WAN dst-port=5315 chain=forward action=accept connection-state=new protocol=tcp
in-interface=br0 out-interface=WAN dst-port=53
[skip...]
Но при попытке обрашения к DNS микрота из локалки, получаем отлуп0:23:31.432579 IP 192.168.45.5.45515 > 192.168.45.1.53: 11274+ A? play.google.com. (33)
00:23:31.433671 IP 192.168.45.1 > 192.168.45.5: ICMP 192.168.45.1 udp port 53 unreachable, length 69
Следующий пакет летит уже на 8.8.8.8 и, в конце концов, тырнет работает.снифер пакетов на микроте показал, что пакет DNS-запроса от клиента считается входящим через wifi, а не через br0. При попытке изменить 12 правило на "in-interface=wifi", получаем логичную ошибку, что на slave-интерфейсе это действие не допустимо - используйте родительский br0. Wiki от микротика и гугл пока ясности не дали (может, неправильно формулировал?). :(
Если кто натыкался на эти грабли, ткните в правильную ссылку, плз, или объясните как выйти из ситуации? br0 разбирать не хотелось бы.
Спасибо!
Тебе обязательно интерфейс указывать? ИП и порта достаточно.
> Тебе обязательно интерфейс указывать? ИП и порта достаточно.На всякого мудреца довольно простоты :)
>> Тебе обязательно интерфейс указывать? ИП и порта достаточно.
> На всякого мудреца довольно простоты :)У вас же локалка и нафиг ее блокировать, во всяком случае connection-state=new да и протоколы тоже можно для 53 порта убрать...
>>> Тебе обязательно интерфейс указывать? ИП и порта достаточно.
>> На всякого мудреца довольно простоты :)
> У вас же локалка и нафиг ее блокировать, во всяком
> случае connection-state=new да и протоколы тоже можно для 53 порта убрать...Я брал типовой конфиг с наших промышленных решений, в которых принимаю участие. Домашняя локалка - это тоже полигон для проверки некоторых решений перед внедрением в прод. Ну и специфика админа - может быть излишняя паранойя.
>>>> Тебе обязательно интерфейс указывать? ИП и порта достаточно.
>>> На всякого мудреца довольно простоты :)
>> У вас же локалка и нафиг ее блокировать, во всяком
>> случае connection-state=new да и протоколы тоже можно для 53 порта убрать...
> Я брал типовой конфиг с наших промышленных решений, в которых принимаю участие.
> Домашняя локалка - это тоже полигон для проверки некоторых решений перед
> внедрением в прод. Ну и специфика админа - может быть излишняя
> паранойя.Дефолтовые правила сделайте они в большинстве случаев покрывают все потребности, а эти удалите. И не мучайтесь. И научитесь пользоваться интерфейс и адрес листами.
> Тебе обязательно интерфейс указывать? ИП и порта достаточно.Может, и не обязательно - привычка из всяких linux-*bsd...
А что там с мразотиком нонче, не забанили прибалты обновления?
> А что там с мразотиком нонче, не забанили прибалты обновления?Ну, я же написал, что до 7.5 обновился - работают пока...
ip dns export