Jump to content
Калькуляторы

Баг с conntrack и nat

Добрый день.

Отлаживал нечто другое, включил лог отвергнутых правилами антиспуфа пакетов со стороны клиентов.


 

Цитата

 

23:08:24 firewall,info forward: in:vlan-clients  out:vlan-uplink, src-mac e4:8d:8c:xx:xx:xx, proto TCP (ACK,FIN,PSH), 192.168.0.246:46165->193.0.170.25:443, len 791
23:08:28 firewall,info forward: in:vlan-clients  out:vlan-uplink, src-mac e4:8d:8c:xx:xx:xx, proto TCP (ACK,FIN,PSH), 192.168.0.246:46164->193.0.170.25:443, len 989
23:08:28 firewall,info forward: in:vlan-clients  out:vlan-uplink, src-mac e4:8d:8c:xx:xx:xx, proto TCP (ACK,FIN,PSH), 192.168.0.246:46166->193.0.170.25:443, len 984
23:08:28 firewall,info forward: in:vlan-clients  out:vlan-uplink, src-mac e4:8d:8c:xx:xx:xx, proto TCP (ACK,FIN,PSH), 192.168.0.246:46163->193.0.170.25:443, len 989


 

 

C стороны множества абонентских mikrotik прорываются наружу IP-пакеты с src ip из их внутренней локалки.

В основном это фрагменты tcp соединений.

То есть то что, согласно правилу MASQUERADE должно было быть спрятано за белый IP на их роутере , но оно прорывается без переписывания заголовков.

 

правила NAT на этих роутерах написаны так

/ip firewall nat add action=masquerade chain=srcnat out-interface=sfp1-isp   src-address=192.168.0.0/24

 

Меня даже не то расстраивает что они "прорвались" а то  , что раз эти пакеты прорвались в таком виде, то значит работа соответствующих соединений видимо была нарушена и интернет у клиентов работает плохо.

 

Есть идеи?

 

Share this post


Link to post
Share on other sites

Дык, ублюдки забывают исключить серые адреса из правила трансляции и при маршрутизации между сетями внутри микротик это все радостно маскарадит и срёт в окружающий мир. Аналогично, при флапе линка маскарадинг может некоторое время высылать такие недоделки. Делать надо action=src-nat, address-list на все серые сети , и в правиле nat что-нибудь вроде dst-address-list=!созданный list

Share this post


Link to post
Share on other sites

15 минут назад, jffulcrum сказал:

Дык, ублюдки забывают исключить серые адреса из правила трансляции и при маршрутизации между сетями внутри микротик это все радостно маскарадит и срёт в окружающий мир. Аналогично, при флапе линка маскарадинг может некоторое время высылать такие недоделки. Делать надо action=src-nat, address-list на все серые сети , и в правиле nat что-нибудь вроде dst-address-list=!созданный list

никаких сетей внутри у этих клиентов нету.  одна единственная клиентская подсеть и один белый IP на WAN интерфейсе.

Никаких флапов нету тоже ,  линк с последнего обновления routers больше месяца наверное.

 

Share this post


Link to post
Share on other sites

Может с tcp в маскарад попадают только полноценные сессии? Может для этих пакетов роутер не видел SYN, SYN+ACK ?

 

Или это уже завершенные сессии, а  клиент делает ретрансмит...

Share this post


Link to post
Share on other sites

7 часов назад, ShyLion сказал:

Или это уже завершенные сессии, а  клиент делает ретрансмит...

в линукс ядре это все предусмотрено .   после закрытия сессии они еще живут определенный таймаут в conntrack.

но даже если так - должна начаться новая сессия и тоже NAT-иться. а не вот такое....

это явная бага кмк

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.