Y
Спрашивал в соседних группах. Спрошу и здесь. Может кто подскажет. С партнером используется стыл GRE over IpSEC. Нешифрованный GRE из-вне у меня запрещен по правилам ниже. Однако имеем следующую картину: IpSEC поднимается и между точками терминации GRE существуют SA. От меня в сторону партнера летят ESP-пакеты, все как положено. А вот обратно прилетают нешифрованные GRE. Как они это делают - я не знаю, ибо не имею доступа к их железке (у них Juniper какой то). Судя по счетчикам пакеты пролетают по правилу "0". Это происходит видимо из-за того, что существую SA. Вопрос такой: какими еще способами можно запретить нешифрованный GRE-трафик на внешнем интерфейсе?
/ip firewall filter> print where comment~"GRE"
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Allow GRE over IpSec
chain=input action=accept tcp-flags="" protocol=gre in-interface-list=WAN ipsec-policy=in,ipsec
1 ;;; Drop unprotected GRE
chain=input action=drop protocol=gre in-interface-list=WAN log=no log-prefix=""
2 ;;; Allow GRE over IpSec
chain=output action=accept protocol=gre out-interface-list=WAN ipsec-policy=out,ipsec
3 ;;; Drop unprotected GRE
chain=output action=drop protocol=gre out-interface-list=WAN log=no log-prefix=""
/ip firewall filter> print where comment~"GRE"
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Allow GRE over IpSec
chain=input action=accept tcp-flags="" protocol=gre in-interface-list=WAN ipsec-policy=in,ipsec
1 ;;; Drop unprotected GRE
chain=input action=drop protocol=gre in-interface-list=WAN log=no log-prefix=""
2 ;;; Allow GRE over IpSec
chain=output action=accept protocol=gre out-interface-list=WAN ipsec-policy=out,ipsec
3 ;;; Drop unprotected GRE
chain=output action=drop protocol=gre out-interface-list=WAN log=no log-prefix=""