Запустил tcpdump на клиентской машине и выполнил обновление адреса по dhcp. При это выяснилось, что все пакеты она получает, несмотря на запрет на фаерволе:
Код: Выделить всё
15:19:02.505699 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from xx:xx:xx:xx:xx:xx (oui Unknown), length 300
15:19:02.506590 IP user.bootps > 172.18.1.106.bootpc: BOOTP/DHCP, Reply, length 300
15:19:02.537685 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from xx:xx:xx:xx:xx:xx (oui Unknown), length 300
15:19:02.538349 IP user.bootps > 172.18.1.106.bootpc: BOOTP/DHCP, Reply, length 300
15:19:16.180289 IP 172.18.1.106.bootpc > user.bootps: BOOTP/DHCP, Request from xx:x:xx:xx:xx:xx (oui Unknown), length 300
15:19:16.181440 IP user.bootps > 172.18.1.106.bootpc: BOOTP/DHCP, Reply, length 300
При этом в цепочке input на фаерволе:
Код: Выделить всё
dhcp-lan deassigned 172.18.1.106 from xx:xx:xx:xx:xx:xx
dhcp-lan assigned 172.18.1.106 to xx:xx:xx:xx:xx:xx
BLK-IN> input: in:bridge-l2tp-in-vlan1-usr out:(unknown 0), src-mac xx:xx:xx:xx:xx:xx proto UDP, 0.0.0.0:68->255.255.255.255:67, len 328
BLK-IN> input: in:bridge-l2tp-in-vlan1-usr out:(unknown 0), src-mac xx:xx:xx:xx:xx:xx, proto UDP, 0.0.0.0:68->255.255.255.255:67, len 328
BLK-IN> input: in:bridge-l2tp-in-vlan1-usr out:(unknown 0), src-mac xx:xx:xx:xx:xx:xx,, proto UDP, 172.18.1.106:68->172.18.1.1:67, len 328
Таким образом, напрашивается вывод, что
1) коммутация пакетов осуществляется внутри bridge, не поднимаясь на уровень фаервола
2) пакеты, предназначенные для Mikrotik (для цепочки input) при этом как-бы дублируются на уровень на фаервол
Достаточно неожиданный эффект, в документации такого я не нашел :)