Почему пакеты отбрасываются из-за правила "forward drop invalid"?

Question

DarkDuelist

zyxel , firewall , mikrotik , сетевое-администрирование

Почему пакеты отбрасываются из-за правила "forward drop invalid"?

Здравствуйте, <br/><br/> У меня следующая ситуация: в сети 192.168.31.0/24 установлен роутер Mikrotik с IP-адресом 192.168.31.1. Этот роутер подключен к WAN-порту роутера Keenetic, которому присвоен адрес 192.168.31.253, а также он раздает IP-адреса клиентам в сети 172.31.31.0/24 (с адресом 172.31.31.1). На Mikrotik настроен маршрут, позволяющий клиентам из сети 192.168.31.0/24 получить доступ к сети 172.31.31.0/24. На Keenetic не было добавлено никаких специфических маршрутов, лишь правила фаервола. <br/><br/>

26 декабря 2024 г. 19:13

Ответы на вопрос 2

Похожие вопросы

Answer 1

Проблема "forward drop invalid" может возникать в результате неправильной маршрутизации или конфигурации сетевых правил на уровне роутеров. Давайте углубимся в возможные причины этого поведения:

1. **Неопределенный маршрут**: Пакеты из сети 192.168.31.0/24, приходящие на роутер Keenetic, могут быть помечены как "недействительные" (invalid) по причине того, что их источник (192.168.31.0/24) не соответствует маршрутам, установленным на Keenetic. Если Keenetic не знает, как доставить пакеты обратно в сеть 192.168.31.0/24, он считает их недействительными.

2. **Правила фаервола**: Возможно, на Keenetic установлены правила, которые отбрасывают пакеты, если они приходят из одной сети и направляются в другую, но маршруты между этими сетями не настроены. Например, правила могут быть настроены так, чтобы запрещать трафик в зависимости от ожидаемых адресов и их маршрутов.

3. **NAT (Network Address Translation)**: Если на Keenetic используется NAT для клиентов из сети 172.31.31.0/24, то это может вызвать проблемы с маршрутизацией пакетов с сети 192.168.31.0/24. Если пакеты приходят с адресами, которые не были определены в правилах NAT, Keenetic может считать их недействительными и отбрасывать.

4. **Проблемы с состоянием соединения**: Если пакеты являются частью соединения, которое не было правильно установлено, Keenetic может пометить их как недействительные. Например, если пакеты приходят из более чем одного направления или если они не соответствуют ожидаемой последовательности.

5. **Настройки Mikrotik**: Вероятны и проблемы на стороне Mikrotik, который также может неправильно обрабатывать пакеты при маршрутизации между сетями.

### Что можно сделать:

1. **Проверьте маршруты**: Убедитесь, что маршруты между сетями правильно настроены на обоих роутерах (Mikrotik и Keenetic).

2. **Проверьте правила фаервола**: Изучите все правила в фаерволе Keenetic, чтобы удостовериться, что они не блокируют необходимые пакеты. Возможно, стоит временно отключить правило "drop invalid" для тестирования.

3. **Настройки NAT**: Проверьте настройки NAT. Убедитесь, что они настроены так, чтобы правильно обрабатывать трафик, который идет от сети 192.168.31.0/24 к сети 172.31.31.0/24 и обратно.

4. **Логи**: Изучите системные логи на Keenetic для получения дополнительной информации о том, почему пакеты отбрасываются. Это может помочь в выявлении проблемы.

5. **Анализ трафика**: Используйте инструменты для анализы трафика, такие как Wireshark, чтобы понять, какие пакеты отбрасываются и почему.

Здесь много переменных, и каждую из них следует исследовать для успешного разрешения проблемы.

Answer 2

Дропнутые пакеты на Mikrotik имеют статус не established (установленное) или related (относящееся к...), а new (новое соединение). Но вы их не пропускаете? Вот они и дропаются.