GeeZeeNburg Опубликовано 20 июня, 2017 · Жалоба На микротике поднят PPTP сервер. За PPTP-сервером есть клиент, ему присваивается адрес 10.1.1.2. В микротике есть аплинк от провайдера, и маршрут туда 0.0.0.0/0. Между этими двумя интерфейсами маскарадинг. При отключении клиента динамический маршрут пропадает, но некоторое время до клиента все еще хотят достучаться всякие соединения. А UDP от других торрент-пиров может прилететь и спустя день, например. Микротик видит, что это ответы для его же nat-запросов, и хочет их форваднуть. Проблема в том, что маршрута до 10.1.1.2 больше нет, и он хочет пульнуть пакет обратно же в 0.0.0.0/0. Задача: ответить icmp host unreachable и дропнуть пакет, если dst-addr == 10.1.1.2 и pptp-server-binding не running. Если решать в лоб, то ничего не выйдет. Правило /ip firewall filter add chain=forward dst-address=10.1.1.2 out-interface=!pptp-server-binding action=reject reject-with=icmp-host-unreachable перестанет работать как только pptp-server-binding перестанет быть running. Как решить задачу по-другому? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 июня, 2017 · Жалоба повесить адрес на lo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AciDSAS Опубликовано 25 июня, 2017 · Жалоба /ip route add dst-address=10.1.1.2 type=unreachable distance=250 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
