DHCP на bridge и фаервол input chain
Добавлено: 18 июл 2022, 17:24
Всем привет! Недавно стал счастливым обладателем роутера Микротик и теперь пытаюсь осваивать - как роутер, так и сетевые технологии
В частности, создал Bridge, добавил в него один физический порт и к этому порту подключил комп. Далее, создал на Mikrotik DHCP-сервер и повесил его на этот бридж. В принципе, все работает, комп получает ip-адрес. Но что удивляет - на фаерволе в цепочке input появляются пакеты такого вида:
"BLK-IN>" - это префикс правила, блокирующего все пакеты в цепочке input, кроме явно разрешенных. Микротик имеет адрес 172.18.1.1. Комп получает адрес 172.18.1.106. Собственно комп получает адрес, не смотря на заблокированный пакет.
Вопрос в том, должны ли вообще пакеты из bridge "видиться" в ip-фаерволе? Теоретически все хосты, подключенные к bridge имеют связанность на уровне ethernet (L2) и таким образом вообще не попадают на уровень маршрутизации (L3), где работает фаервол.
В частности, создал Bridge, добавил в него один физический порт и к этому порту подключил комп. Далее, создал на Mikrotik DHCP-сервер и повесил его на этот бридж. В принципе, все работает, комп получает ip-адрес. Но что удивляет - на фаерволе в цепочке input появляются пакеты такого вида:
Код: Выделить всё
BLK-IN> input: in:bridge1 out:(unknown 0), src-mac xx:xx:xx:xx:xx:xx, proto UDP, 172.18.1.106:68->172.18.1.1:67, len 328
Вопрос в том, должны ли вообще пакеты из bridge "видиться" в ip-фаерволе? Теоретически все хосты, подключенные к bridge имеют связанность на уровне ethernet (L2) и таким образом вообще не попадают на уровень маршрутизации (L3), где работает фаервол.