olegtsss Nov 29 2021 at 12:00

Страх и ненависть в RouterOS: что такое сетевое соединение в ядре Linux (часть 3 — NAT и сетевые соединения)

6 min

12K

RUVDS.com corporate blogSystem administration**nix*Network technologies*

+51

Comments 7

kterik Nov 29 2021 at 19:57

Хочу уточнить: указанная особенность NAT проявляется даже в отсутствие стандартного первого правила firewall filters, разрешающего established и related пакеты?

olegtsss Nov 29 2021 at 20:01

Посмотрите последнюю диаграмму, представленную в статье. Итак, пакет, скорее всего, идет по пути Prerouting -> Forward -> Postrouting. В каждой цепочке, он проходит через все блоки, которые она содержит. Т.е. Filter Forward (это где у вас скорее всего правила established и related). Потом пакеты летят в строну SRC-NAT так, как указано на диаграмме. Т.е. не зависимо, что у вас там в Filter Forward.

kterik Nov 29 2021 at 22:20

Исследовали ли вы вопрос о том, в каких блоках диаграммы маршрутизатор принимает решение о принадлежности пакета определённому VRF, точнее, определённой Routing Mark? В частности, в случае деинкапсуляции IP-пакета из MPLS-пакета в рамках L3VPN?

olegtsss Nov 30 2021 at 03:25

Нет, это выходит за рамки. По идее это должно быть в Routing Decision. Кстати на wiki есть схемы, применительно для MPLS:
help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS
wiki.mikrotik.com/wiki/Manual:Packet_Flow

kterik Nov 30 2021 at 07:33

В этом случае, получается, соединение создаётся без учёта принадлежности пакета VRF. Отсюда и все грустные особенности VRF на RouterOS, особенно в случае потока трафика между двумя VRF, которые в норме должны общаться через внешний сетевой экран.

olegtsss Nov 30 2021 at 10:59

Не используйте VRF )

kterik Nov 30 2021 at 11:00

Не могу, надо )