+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Фаервол фильтр и VRF

Фаервол фильтр и VRF, RouterOS

gutzeit

Guest

09.05.2014 06:43:00

Привет! У меня CCR1016 с ROS 6.12. Я настроил один VRF и добавил в него интерфейс с сетью. Потом создал список адресов для файрвола и правило фильтрации. Суть правила — отфильтровывать весь трафик с источника из созданного списка адресов и сбрасывать его. Но я не настраивал правило для работы с каким-либо VRF, так что, по моему мнению, оно должно работать с основной таблицей маршрутизации. На самом деле, это правило сбрасывает трафик и в VRF, как думаешь, это правильно?

jsonmagdamit Guest	#2 0 22.12.2015 17:57:00 Возможно ли открыть все правила фаервола в конкретном VRF?

xxrentnerxx

Guest

13.07.2022 18:45:00

Привет, @tomaskir! Честно говоря, немного стыдно спрашивать, но как можно добавить VRF в правило фаервола? Я провёл несколько тестов с опцией routing mark, но в своих проверках убедился, что трафик по умолчанию не помечается. Ни для основного таблицы маршрутизации, ни для интерфейсов, которые входят в VRF в /ip/vrf. Трафик, который приходит через интерфейс в VRF, не получает автоматически назначенную метку маршрутизации. Точно проверял на CHR v7.3.1. Также не вижу опции для VRF в /ip/firewall/filter. Заранее большое спасибо за любую помощь. Деннис

sindy

Guest

16.07.2022 16:38:00

Это так, иначе маршруты с параметром routing-table, установленным на эту автоматически созданную метку маршрутизации, не использовались бы для маршрутизации этого трафика, а они используются. Но эта автоматически созданная метка маршрутизации «невидима» для правил файрвола. Я думал, что она может не доходить до фильтра (потому что фильтрация происходит после маршрутизации, и логично было бы убрать метку маршрутизации после того, как она выполнила свою основную функцию), но нет, mangle/prerouting тоже её не видит, хотя и mangle, и filter видят метки маршрутизации, созданные вручную. Надеюсь, это баг, который потом исправят, а не преднамеренное поведение. Возможно, стоит сообщить об этом в поддержку Mikrotik. Пока что единственный выход, который я могу представить — создать список интерфейсов, в который войдут интерфейсы VRF, и настроить правила фильтрации по этому списку (in|out-interface-list). Это очень headache-решение, как и любая другая ситуация, когда приходится вручную синхронизировать две части конфигурации, поэтому я бы точно использовал расписанный скрипт для поддержания списка интерфейсов в соответствии с VRF.

anav Guest	#5 0 18.07.2022 13:35:00 Я не понимаю, почему VRF не считается интерфейсом и как тогда на него могут распространяться правила файрвола? Конечно, ответы могут подождать, пока автор вопроса не решит свои проблемы.

Sob

Guest

18.07.2022 23:39:00

Не спешите: VRF и скрытые интерфейсы - #5 от Sob

Не могу ничего с собой поделать (может, что-то упускаю, ведь я в основном рассматриваю SOHO-сегмент, для мелких пользователей, так что, наверное, не та аудитория), но весь этот VRF... эм... я понимаю идею и как это может быть полезно, но ожидал чего-то более отдельного, а пока это скорее похоже на странный костыль поверх маршрутизации, который особо и не добавляет ничего полезного.

xxrentnerxx

Guest

20.07.2022 18:50:00

Не думаю, что для выбора правильной таблицы маршрутизации нужен какой-то специальный маркер. Можно просто сделать простой поиск по таблице. Если роутер получает трафик для определённого интерфейса, он может проверить, принадлежит ли этот интерфейс VRF, и тогда использовать соответствующую таблицу для выбора следующего хопа. Что касается этой задачи, то conntrack тебе не нужен, да и возиться с маркерами маршрутизации тоже не придётся.

xxrentnerxx

Guest

20.07.2022 19:01:00

Спасибо, Sob. Я тоже хотел поделиться этой статьёй, потому что столкнулся с этим явлением во время отладки. Если нужно подключиться к нескольким сетям клиентов через роутер, VRF очень помогают обходить пересечение IP-адресов. Не хочется заводить отдельный CHR для каждого клиента. Каждый туннель wireguard просто нужно поместить в свою VRF. Потом я бы хотел использовать NAT, чтобы обращаться к IP-адресам конкретного клиента из default VRF. Так можно даже размещать приватные сервисы для клиента в любых IP-диапазонах, которые он выберет, прямо у себя, без проблем с конфликтом IP-адресов других клиентов на устройстве. К сожалению, сейчас это, похоже, невозможно. Я пока делаю так на Juniper SRX, но хотел бы перейти на CHR.

Sob

Guest

21.07.2022 00:46:00

Я понимаю, зачем может быть удобно иметь простой способ выделять определённые интерфейсы и делать для них отдельную маршрутизацию. Практически как отдельные роутеры. Или чтобы какие-то сервисы на роутере были доступны только в определённых зонах. Всё это нормально. Но тогда у меня та же проблема, что и у тебя. При такой чёткой изоляции скорее всего понадобится отдельная конфигурация файрвола для каждого. А нет — есть только один общий файрвол для всех. И ещё хуже — нет лёгкого способа фильтровать по используемому VRF. Я не до конца продумал, но с первого взгляда ожидал параметр типа vrf=, чтобы удобно разделять трафик. Но, если я не слепну, этого нет. Похоже, что у Linux тоже такого нет, значит, возможно, его предполагается использовать иначе. И да, есть главное отличие: в Linux для каждого VRF есть отдельный интерфейс, с которым можно работать. Если хочешь, например, принимать трафик из определённого VRF (не важно, с какого именно интерфейса) — это работает. У RouterOS такие интерфейсы тоже есть, но скрытые, и с ними нельзя взаимодействовать. Вот это и ограничение. Но даже если бы эти интерфейсы VRF были доступны (полная копия с Linux), это всё равно не решило бы всё, потому что в некоторых цепочках всё равно нельзя было бы точно сопоставить интерфейс внутри VRF. Сейчас MikroTik начал менять то, как файрвол видит интерфейсы, и если они доведут это до конца (также для output/postrouting и списков интерфейсов), появится возможность делать то, что нельзя в Linux. Круто. Но мне интересно, почему Linux организован так, как есть, и стоит ли это менять. Может ли это обернуться проблемами? Например, как я смогу отличить первый проход в prerouting от второго? В Linux и старом RouterOS был первый in-interface= и второй in-interface=. А теперь я вижу in-interface= для обоих. Что если я захочу увеличить TTL на один для всего, что приходит с реального интерфейса? Я не проверял, но в свежем RouterOS скорее всего TTL увеличится на два — по одному за каждый проход. Не очень. P.S. Я, наверное, слишком зациклен на интерфейсах. Можно было бы обойтись доступностью routing mark. Но мне всё равно кажется, что было бы лучше дать нам VRF-интерфейсы, как в Linux. Это решило бы ряд вопросов. И поскольку Linux делают умные люди, я уверен, что у них есть какой-то план (пусть я пока его не полностью понимаю), и если они эти интерфейсы добавили — значит, это хорошее решение.

emunt6 Guest	#10 0 30.07.2022 23:11:00 «Linux VRF» — это не «промышленный стандарт VRF» в сетевой отрасли (Cisco, Juniper, HPE и др.). «Linux Namespaces» можно считать настоящим VRF. «Linux VRF» — это своего рода «хаки» над основной таблицей маршрутизации, в отличие от «Linux Namespaces», где создаются полностью изолированные экземпляры.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры