Jump to content
Калькуляторы

Баг с conntrack и nat

Добрый день.

Отлаживал нечто другое, включил лог отвергнутых правилами антиспуфа пакетов со стороны клиентов.


 

Цитата

 

23:08:24 firewall,info forward: in:vlan-clients  out:vlan-uplink, src-mac e4:8d:8c:xx:xx:xx, proto TCP (ACK,FIN,PSH), 192.168.0.246:46165->193.0.170.25:443, len 791
23:08:28 firewall,info forward: in:vlan-clients  out:vlan-uplink, src-mac e4:8d:8c:xx:xx:xx, proto TCP (ACK,FIN,PSH), 192.168.0.246:46164->193.0.170.25:443, len 989
23:08:28 firewall,info forward: in:vlan-clients  out:vlan-uplink, src-mac e4:8d:8c:xx:xx:xx, proto TCP (ACK,FIN,PSH), 192.168.0.246:46166->193.0.170.25:443, len 984
23:08:28 firewall,info forward: in:vlan-clients  out:vlan-uplink, src-mac e4:8d:8c:xx:xx:xx, proto TCP (ACK,FIN,PSH), 192.168.0.246:46163->193.0.170.25:443, len 989


 

 

C стороны множества абонентских mikrotik прорываются наружу IP-пакеты с src ip из их внутренней локалки.

В основном это фрагменты tcp соединений.

То есть то что, согласно правилу MASQUERADE должно было быть спрятано за белый IP на их роутере , но оно прорывается без переписывания заголовков.

 

правила NAT на этих роутерах написаны так

/ip firewall nat add action=masquerade chain=srcnat out-interface=sfp1-isp   src-address=192.168.0.0/24

 

Меня даже не то расстраивает что они "прорвались" а то  , что раз эти пакеты прорвались в таком виде, то значит работа соответствующих соединений видимо была нарушена и интернет у клиентов работает плохо.

 

Есть идеи?

 

Share this post


Link to post
Share on other sites

Дык, ублюдки забывают исключить серые адреса из правила трансляции и при маршрутизации между сетями внутри микротик это все радостно маскарадит и срёт в окружающий мир. Аналогично, при флапе линка маскарадинг может некоторое время высылать такие недоделки. Делать надо action=src-nat, address-list на все серые сети , и в правиле nat что-нибудь вроде dst-address-list=!созданный list

Share this post


Link to post
Share on other sites
15 минут назад, jffulcrum сказал:

Дык, ублюдки забывают исключить серые адреса из правила трансляции и при маршрутизации между сетями внутри микротик это все радостно маскарадит и срёт в окружающий мир. Аналогично, при флапе линка маскарадинг может некоторое время высылать такие недоделки. Делать надо action=src-nat, address-list на все серые сети , и в правиле nat что-нибудь вроде dst-address-list=!созданный list

никаких сетей внутри у этих клиентов нету.  одна единственная клиентская подсеть и один белый IP на WAN интерфейсе.

Никаких флапов нету тоже ,  линк с последнего обновления routers больше месяца наверное.

 

Share this post


Link to post
Share on other sites

Может с tcp в маскарад попадают только полноценные сессии? Может для этих пакетов роутер не видел SYN, SYN+ACK ?

 

Или это уже завершенные сессии, а  клиент делает ретрансмит...

Share this post


Link to post
Share on other sites
7 часов назад, ShyLion сказал:

Или это уже завершенные сессии, а  клиент делает ретрансмит...

в линукс ядре это все предусмотрено .   после закрытия сессии они еще живут определенный таймаут в conntrack.

но даже если так - должна начаться новая сессия и тоже NAT-иться. а не вот такое....

это явная бага кмк

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this