GeeZeeNburg Posted June 20, 2017 На микротике поднят PPTP сервер. За PPTP-сервером есть клиент, ему присваивается адрес 10.1.1.2. В микротике есть аплинк от провайдера, и маршрут туда 0.0.0.0/0. Между этими двумя интерфейсами маскарадинг. При отключении клиента динамический маршрут пропадает, но некоторое время до клиента все еще хотят достучаться всякие соединения. А UDP от других торрент-пиров может прилететь и спустя день, например. Микротик видит, что это ответы для его же nat-запросов, и хочет их форваднуть. Проблема в том, что маршрута до 10.1.1.2 больше нет, и он хочет пульнуть пакет обратно же в 0.0.0.0/0. Задача: ответить icmp host unreachable и дропнуть пакет, если dst-addr == 10.1.1.2 и pptp-server-binding не running. Если решать в лоб, то ничего не выйдет. Правило /ip firewall filter add chain=forward dst-address=10.1.1.2 out-interface=!pptp-server-binding action=reject reject-with=icmp-host-unreachable перестанет работать как только pptp-server-binding перестанет быть running. Как решить задачу по-другому? Share this post Link to post Share on other sites More sharing options...
myth Posted June 20, 2017 повесить адрес на lo Share this post Link to post Share on other sites More sharing options...
AciDSAS Posted June 25, 2017 /ip route add dst-address=10.1.1.2 type=unreachable distance=250 Share this post Link to post Share on other sites More sharing options...
