Jump to content

Загадочный NAT

alibek
 Share

Recommended Posts

alibek

alibek

Posted
Posted

На Микротике создан интерфейс (бридж) br-inet с IP-адресом A.B.C.101/25.

В качестве DNS-сервера указан A.B.C.1.

 

В Firewall - NAT есть единственное правило: 

/ip firewall nat add action=log chain=srcnat

 

В логах периодически появляются записи такого вида: 

srcnat: in:(unknown 0) out:br-inet, proto UDP, A.B.C.101:34604->A.B.C.1:53, len 57

 

Не могу понять, откуда взялся srcnat?

fractal

fractal

Posted
Posted
5 часов назад, alibek сказал:

На Микротике создан интерфейс (бридж) br-inet с IP-адресом A.B.C.101/25.

В качестве DNS-сервера указан A.B.C.1.

 

В Firewall - NAT есть единственное правило: 

/ip firewall nat add action=log chain=srcnat

 

В логах периодически появляются записи такого вида: 

srcnat: in:(unknown 0) out:br-inet, proto UDP, A.B.C.101:34604->A.B.C.1:53, len 57

 

Не могу понять, откуда взялся srcnat?

Self zone походу

fractal

fractal

Posted
Posted
6 часов назад, alibek сказал:

А что это? Какая-то особенность микротика?

Не, я полагаю это логируются то, что сам получить пытается микрот, может разрабами что заложено, от имени железки

alibek

alibek

Posted
  • Author
Posted

Дефолтный конфиг очищался, конечно.

Я хочу до ума файрвол довести, пока он на столе и без трафика.

 

12 часов назад, floop сказал:

вот оно и логирует, а больше ничего и не делает

Вопрос в том, почему этот трафик вообще в цепочку srcnat попал. А не output, к примеру.

 

7 часов назад, fractal сказал:

я полагаю это логируются то, что сам получить пытается микрот, может разрабами что заложено

Возможно.

witch

witch

Posted
Posted
16 часов назад, fractal сказал:

Не, я полагаю это логируются то, что сам получить пытается микрот, может разрабами что заложено, от имени железки 

(unknown 0) вроде как пакет ДЛЯ роутера, возможно = ОТ роутера. или баг.
floop

floop

Posted
Posted (edited)
В 28.09.2023 в 13:13, alibek сказал:

Вопрос в том, почему этот трафик вообще в цепочку srcnat попал. А не output, к примеру.

 

Не знаю, почему он не должен был попасть в цепочку srcnat.
Я вообще не спец по микроту, но не вижу противоречий.

Если вы создали правило для DNS сервера и прописали этот сервер роутеру, то наверняка в лог попал пакет от роутера.

Если это пакет от роутера, то у него нет входящего интерфейса, а только исходящий. Логично же?

 

image.thumb.jpeg.37bc9eb0c3de1ac000e6c2973ba2b936.jpeg

Edited by floop
добавил картинку

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.