Почему после внесения изменений в конфигурацию брандмауэра лучше перезагрузить роутер
Эта история произошла на днях с одним коллегой. В очередной раз внося изменения в конфигурацию брандмауэра Mikrotik он обнаружил правила, которые, согласно комментариям, относились к IPsec, который уже давно не использовался.
Он сбросил на них счетчики и несколько дней понаблюдал – счетчики не менялись. После чего он просто выключил эти правила. Ничего не сломалось и все продолжило работать как работало. На том он благополучно и забыл об этой истории.
Напомнила она о себе совсем недавно. Менеджеры стали жаловаться, что обмен с некоторыми точками происходит ну очень медленно.
Стали разбираться и выяснилось, что не так давно отвалились все входящие L2TP-соединения от точек и трафик для них пошел по медленному резервному пути.
А почему отвалились? Потому что не смогли собрать IPsec, по причине выключенных правил брандмауэра.
Так погодите, но работало же все? Правила еще когда изменились, а случилось все только сейчас.
Но это вполне нормальное поведение, в любом правильно настроенном брандмауэре на базе iptables, включая Mikrotik, первым в цепочках стоит правило, разрешающее уже установленные соединения – ESTABLISHED. И все существующие соединения будут проходить именно через него, не двигаясь по цепочкам дальше.
Поэтому вы можете хоть сто раз поменять нижестоящие правила, но действовать они начнут только для новых соединений. А если у нас каналы связи стабильны и соединения не отваливаются по таймауту, то существовать такая ситуация может бесконечно долго.
В нашем случае триггером стала перезагрузка роутера. После чего L2TP соединения, которые из установленных стали новыми устанавливаться перестали.
Поэтому, если вы не хотите неприятных неожиданностей в самый неподходящий момент – после внесения изменений в брандмауэр обязательно перезагрузите роутер. Возможно, узнаете много интересного.
