У меня полностью резервированная сеть, состоящая из 2x rb1100ahx2. Поскольку сеть полностью резервирована, там образовался сетевой контур и используется RST, а это, в свою очередь, означает использование bridge, хотя в противном случае было бы достаточно коммутации. (И я обожаю функцию обхода!) RB настроены как master/standby с использованием VRRP на lan-bridge. Есть только один публичный IP-диапазон для каждого интернет-соединения, и некоторые серверы для dmz не могут быть за NAT, поэтому там нужен wan-bridge, и его нужно защитить файрволом. Соответственно, файрвол включен для bridge. А теперь проблема: когда файрвол включен для bridge, включается и NAT! С коммутационным контуром некоторые пакеты в сторону основного роутера проходят через запасной. Проблема в том, что запасной применяет таблицу NAT к этим пакетам, в результате чего они маршрутизируются через запасной, а не через основной, или они доходят до основного с неправильными dst/src IP-адресами. Мой вопрос: Как можно применить таблицу фильтров файрвола к bridge, не применяя таблицу NAT? ИЛИ: Как можно применить файрвол только к одному bridge, где это необходимо, а не ко всем остальным?
