Есть ли оптимизация правил Firewall в ROS? : MikroTik

OlegON · █ 14.08.2024 09:47

Давно ищу и не могу найти ответ на достаточно простой вопрос.
Если я составляю сложное правило из кучи условий, интерфейс, протокол, address-list и т.п.
Правильно ли я понимаю, что условия, поскольку они обрабатываются все, как AND, обрабатываются до первого отрицательного?
То есть в ряду A and B and C and D and E, если условие B не выполняется, то C, D, E даже не проверяются?
А какой тогда порядок проверки? Ну то есть логично было бы, чтобы самые легкие и быстрые шли впереди, но так ли это?
Кто видел какую-то документацию на эту тему?

vdm · █ 15.08.2024 22:52

Ну вроде порядок вполне описан официально

Цитата:

Matchers are executed in a specific order.

For IPv4:

Source MAC Address
In/Out interfaces
In/Out interface lists
IP Range
Address type
Address list
TTL
DSCP
Length
TLS
IPv4 Options
Dst Port
Src Port
Any Port
TCP Options
TCP MSS
ICMP Codes
Ingress Priority
Priority
Packet Mark
Realm (routing table)
Hotsopot
Connection Mark
Connection State
Connection NAT State
Connection Bytes
Connection Limit
Connection Rate
Ipsec Policy
Helper
String (content)
PSD
Layer7
Random
Nth
PCC
Limit
Dst Limit
Log

For IPv6:

Address type
Address list
Source MAC Address
In/Out interfaces
In/Out interface lists
Hop Limit
DSCP
Length
TLS
IPv6 Header
Dst Port
Src Port
Any Port
TCP Options
TCP MSS
ICMPv6 Codes
Ingress Priority
Priority
Packet Mark
Connection Mark
Connection State
Connection NAT State
Connection Bytes
Connection Limit
Connection Rate
Ipsec Policy
Helper
Match String (content)
Random
Nth
PCC
Limit
Dst Limit
Log

И было бы странно, если проверки не прерываются на первом отказе.

OlegON · █ 16.08.2024 10:06

Будешь смеяться, но я не нашел, более того, мне не смогли ответить в чате российского сообщества Микротика в свое время...