action

( название действия ;

по умолчанию: accept)

• accept - принять пакет. Пакет не передается следующему правилу межсетевого экрана.
• add-dst-to-address-list - добавить адрес назначения в список адресов, заданный address-listпараметром
• add-src-to-address-list - добавить адрес источника в список адресов, заданный address-listпараметром
• change-dscp - изменить значение поля точки кода дифференцированных услуг (DSCP), заданное параметром new-dscp
• change-mss - изменить значение поля Maximum Segment Size пакета на значение, указанное в параметре new-mss
• change-ttl - изменить значение поля Time to Live пакета на значение, указанное параметром new-ttl
• clear-df - очистить флаг "Не фрагментировать"
• fasttrack-connection - показывает счетчики fasttrack, полезные для статистики
• jump - перейти к пользовательской цепочке, заданной значением jump-targetпараметра
• log - добавить в системный журнал сообщение, содержащее следующие данные: in-interface, out-interface, src-mac, protocol, src-ip: port-> dst-ip: port и длину пакета. После совпадения пакета он передается следующему правилу в списке, как иpassthrough
• mark-connection - поставить отметку, указанную параметром new-connection-mark, на все соединение, которое соответствует правилу
• mark-packet - поставить отметку, указанную параметром new-packet-mark, на пакете, который соответствует правилу
• mark-routing - поставить на пакет отметку, указанную параметром new-routing-mark. Этот вид меток используется только для целей маршрутизации политик.
• passthrough - если пакет соответствует правилу, увеличьте счетчик и перейдите к следующему правилу (полезно для статистики).
• return - передать управление обратно в цепочку, откуда произошел прыжок
• route - принудительно отправляет пакеты на определенный IP-адрес шлюза, игнорируя обычное решение о маршрутизации (только для цепочки предварительной маршрутизации)
• set-priority - установить приоритет, указанный параметром new-priority для пакетов, отправленных по каналу, способному передавать приоритет (VLAN или беспроводной интерфейс с поддержкой WMM). 
• sniff-pc - отправить пакет на удаленный сервер RouterOS CALEA.
• sniff-tzsp - отправить пакет в удаленную систему, совместимую с TZSP (например, Wireshark). Установка дистанционного мишень с sniff-targetи sniff-target-portпараметры (Wireshark рекомендует порт 37008)
• strip-ipv4-options - удаляет поля параметров IPv4 из заголовка IP, действие фактически не удаляет параметры IPv4, а заменяет все октеты параметров на NOP, дальнейшее сопоставление с ipv4-options = any все равно будет соответствовать пакету.

address-list

( строка ; По умолчанию:)

address-list-timeout

(none-dynamic |

none-static |

time;

по умолчанию:

none-dynamic)

• Значение non-dynamic ( 00:00:00) оставит адрес в списке адресов до перезагрузки
• Значение none-static навсегда оставит адрес в списке адресов навсегда и будет включено в экспорт при резервном копировании конфигурации.

chain 

( имя ; По умолчанию:)

comment 

( строка ; По умолчанию:)

connection-bytes

( целое-целое ; по умолчанию:)

connection-limit

( целое число, сетевая маска ;

По умолчанию :)

connection-mark 

( без метки | строка ;

По умолчанию:)

connection-nat-state

( srcnat | dstnat ;

По умолчанию :)

connection-rate

( целое число 0..4294967295 ;

по умолчанию :)

connection-state

estabilished |

invalid | new |

related;

по умолчанию:)

• estabilished - пакет, принадлежащий существующему соединению
• invalid - пакет, состояние которого не определено при отслеживании соединения (обычно - отдельные неупорядоченные пакеты, пакеты с неправильной последовательностью / номером подтверждения или в случае чрезмерного использования ресурсов на маршрутизаторе), по этой причине недопустимый пакет не будет участвовать в NAT (как это делают только пакеты connection-state = new) и по-прежнему будет содержать исходный IP-адрес источника при маршрутизации. Мы настоятельно рекомендуем отбросить все пакеты connection-state = invalid в цепях пересылки и ввода брандмауэра.
• new - пакет начал новое соединение или иным образом связан с соединением, которое не видел пакетов в обоих направлениях
• related - пакет, который относится к существующему соединению, но не является его частью, например, ошибки ICMP или пакет, который начинает соединение для передачи данных FTP
• untracked - пакет, который был настроен на обход отслеживания соединений в таблицах RAW межсетевого экрана.

connection-type

( ftp | h323 | irc |

pptp | quake3 | sip |

tftp ; по умолчанию :)

content 

( строка ;

По умолчанию:)

dscp 

( целое число: 0..63 ;

по умолчанию :)

dst-adress

( IP / маска сети |

диапазон IP ;

По умолчанию:)

dst-address-list

( имя ; По умолчанию:)

dst-address-type 

( unicast | local |

broadcast | multicast ;

По умолчанию:)

• unicast - IP-адрес, используемый для передачи точка-точка
• local - если одному из интерфейсов роутера назначен dst-адрес
• broadcast - пакет отправляется на все устройства в подсети
• multicast - пакет пересылается определенной группе устройств

dst-limit 

( integer [/ time],

integer, dst-address|

dst-port |

src-address [/ time] ;

по умолчанию:)

• count - максимальная средняя скорость пакетов, измеренная в пакетах за timeинтервал
• time - указывает временной интервал, в котором измеряется скорость передачи пакетов (необязательно)
• burst - количество пакетов, которые не учитываются по скорости передачи пакетов
• mode - классификатор ограничения скорости пакетов
• expire - указывает интервал, по истечении которого записанный IP-адрес / порт будет удален (необязательно)

dst-port 

( целое [-integer]: 0..65535 ;

по умолчанию :)

fragment 

( да | нет ; по умолчанию:)

hotspot 

( auth |

from-client |

http | local-dst |

to-client ;

По умолчанию:)

• auth - соответствует аутентифицированным клиентским пакетам HotSpot
• from-client - соответствует пакетам, приходящим от клиента HotSpot
• http - соответствует HTTP-запросам, отправленным на сервер HotSpot
• local-dst - соответствует пакетам, предназначенным для сервера HotSpot
• to-client - соответствует пакетам, которые отправляются клиенту HotSpot

icmp-options

 ( целое: целое ;

по умолчанию:)

in-bridge-port 

( имя ; По умолчанию:)

in-interface

( имя ; По умолчанию:)

ingress-priority

(входящий приоритет)

( целое число: 0..63 ;

по умолчанию :)

ipsec-policy 

( in | out, ipsec | none;

по умолчанию :)

• in - действует в цепочках PREROUTING, INPUT и FORWARD
• out - действует в цепочках POSTROUTING, OUTPUT и FORWARD

• ipsec - соответствует, если пакет подлежит обработке IpSec;
• none - соответствует пакету, который не подлежит обработке IpSec (например, транспортный пакет IpSec).

Например, если маршрутизатор получает пакет Gre, инкапсулированный в Ipsec, то правило ipsec-policy=in,ipsecбудет соответствовать пакету Gre, но правило ipsec-policy=in,noneбудет соответствовать пакету ESP.

ipv4-options 

( любой |

свободная маршрутизация-источник |

маршрут без записи |

предупреждение об отсутствии маршрутизатора |

маршрутизация без источника |

без отметки времени |

нет | маршрут записи | предупреждение маршрутизатора |

строгая маршрутизация от источника |

отметка времени ;

По умолчанию:)

• any - сопоставить пакет хотя бы с одним из вариантов ipv4
• Free-source-routing - сопоставление пакетов с опцией свободной маршрутизации от источника. Эта опция используется для маршрутизации интернет-дейтаграммы на основе информации, предоставленной источником.
• no-record-route - сопоставление пакетов без опции записи маршрута. Эта опция используется для маршрутизации интернет-дейтаграммы на основе информации, предоставленной источником.
• no-router-alert - сопоставлять пакеты без опции изменения маршрутизатора
• no-source-routing - соответствие пакетов без опции маршрутизации от источника
• no-timestamp - сопоставлять пакеты без опции timestamp
• record-route - сопоставить пакеты с опцией записи маршрута
• router-alert - сопоставляет пакеты с опцией изменения маршрутизатора
• strict-source-routing - сопоставление пакетов с опцией строгой маршрутизации от источника
• timestamp - сопоставить пакеты с отметкой времени

Layer7-protocol 

( имя ; По умолчанию :)

limit 

( целое,

время,

целое ;

по умолчанию:)

• count - максимальная средняя скорость пакетов, измеренная в пакетах за timeинтервал
• time - указывает интервал времени, в котором измеряется скорость передачи пакетов (необязательно, будет использоваться 1 с, если не указано)
• burst - количество пакетов, которые не учитываются по скорости передачи пакетов

log-prefix 

( строка ; По умолчанию:)

new-dscp 

( целое число: 0..63 ;

по умолчанию :)

new-mss

( целое ; по умолчанию :)

new-packet-mark

( строка ; По умолчанию:)

new-priority 

( integer |

from-dscp |

from-dscp-high-3-bits |

from-ingress ;

По умолчанию :)

new-routing-mark 

( строка ; По умолчанию:)

new-ttl 

( декремент |

инкремент |

набор: целое число;

по умолчанию:)

nth 

( целое; целое ;

по умолчанию:)

out-bridge-port 

( имя ; По умолчанию:)

out-interface

(; По умолчанию: )

packet-mark 

( без метки |

строка ;

по умолчанию:)

packet-size 

( целое [-integer]: 0..65535 ;

по умолчанию :)

passthrough

( да | нет ; по умолчанию: да )

per-connection-classifier ( ValuesToHash: знаменатель /

остаток ; по умолчанию :)

port

( integer [-integer]: 0..65535 ; по умолчанию :)

protocol 

( имя или идентификатор протокола ; по умолчанию: tcp )

• WeightThreshold - общий вес последних пакетов TCP / UDP с разными портами назначения, приходящих с одного и того же хоста, который будет рассматриваться как последовательность сканирования портов.
• DelayThreshold - задержка для пакетов с разными портами назначения, приходящих с одного и того же хоста, должна рассматриваться как возможная подпоследовательность сканирования портов
• LowPortWeight - вес пакетов с привилегированным (<1024) портом назначения
• HighPortWeight - вес пакета с непривилегированным портом назначения

random 

( целое число: 1..99 ;

по умолчанию :)

routing-mark

( строка ; По умолчанию:)

priority 

( целое число: 0..63 ;

по умолчанию :)

src-ardess

( IP / маска сети, диапазон IP ;

по умолчанию :)

src-address-list

( имя ; По умолчанию:)

src-address-type 

( unicast | local | broadcast | multicast ; По умолчанию:)

Соответствует типу адреса источника:

• unicast - IP-адрес, используемый для передачи точка-точка
• local - если адрес назначен одному из интерфейсов роутера
• broadcast - пакет отправляется на все устройства в подсети
• multicast - пакет пересылается определенной группе устройств

src-port

 ( integer [-integer]: 0..65535 ; по умолчанию :)

src-mac-address 

( MAC-адрес ; по умолчанию:)

tcp-flags 

( ack | cwr | ece | fin | psh | rst | syn | urg ; по умолчанию :)

• ack - подтверждение данных
• cwr - окно перегрузки уменьшено
• ece - флаг ECN-echo (явное уведомление о перегрузке)
• fin - закрыть соединение
• psh - функция push
• rst - разорвать соединение
• syn - новое соединение
• urg - срочные данные

tcp-mss 

( integer [-integer]: 0..65535 ; по умолчанию :)

time

( время-время, сб | пт | чт | ср | вт | пн | вс ; по умолчанию:)

tls-host 

( строка ; По умолчанию :)

ttl 

( равно |

больше-чем |

меньше-чем |

не-равно:

целое число (0..255) ; по умолчанию :)