Вопрос по dst-nat

[WhiteWolf]

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=4515 in-interface=ether1 protocol=tcp to-ports=4515

Будет ли работать? И если будет то в каких случаях используется?
Я всегда предполагал, что при пробросе порта нужен адрес получателя, а в этом правиле он пропущен. При этом микротик его воспринимает спокойно. Но куда тогда будет отправлен пакет?

[vqd]

Логирование воткнуть и понятно будет чего там происходит

[vqd]

У себя попробовал, судя по логам никакого практического действия данное правило не выполняет )))

[WhiteWolf]

Ну я тут тоже поэкспериментировал.
Правда пришлось проводить опыты на вайфай бридже, который до понедельника точно никто использовать не будет и к которому у меня есть доступ в любое время. Но так как все клиенты ушли до понедельника, пришлось тестировать только на этой паре микротиков. Первый подключен к интернету и натит, второй просто бриджем между вайфай и эзернетом

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=8045 in-interface=ether1 log=yes log-prefix=dst-nat8045port protocol=tcp to-ports=8291

Запускаем винбокс с указанием IP:8045 и... попадаем на первый микротик. Т.е. правило привело к порту 8291 самого маршрутизатора.
В логах есть запись о срабатывании правила, но по логам результата нет. По этому не могу понять правило просто ничего не делает, или всетаки пробрасывает порт на себя, но уже за натом?

[seregaelcin]

Скорее попадете на хост, где будет этот порт слушаться

[vqd]

Скорее попадете на хост, где будет этот порт слушаться

это как ? )))

[WhiteWolf]

Продолжение экспериментов:
конфигурация сети:
Микротик1 - rb2011 подключен первым эзернетом к провайдеру, остальные собраны в бридж. на бридже IP 192.168.1.1
Микротик2 и Микротик3 - rb951 все эзернеты и вайфай собраны в бридж, на бридже IP 192.168.1.11 и 192.168.1.12 соответственно
У всех открыт доступ к сервису винбокса по порту 8291 на всех интерфейсах

На Микротик1 добавляем правило:

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=8045 in-interface=ether1 log=yes log-prefix=dst-nat8045port protocol=tcp to-ports=8291

Запускаем винбокс с указанием IP:8045 попадаем на Микротик1
Меняем на Микротик1 порт для сервиса винбокса на 8292, запускаем винбокс с указанием IP:8045 и не попадаем никуда. Т.е. Даже имея в локальной сети Микротик2 и Микротик3 которые слушают порт 8291, входящий пакет до них не доходит.
Если в правиле заменить action=dst-nat на action=netmap то происходит тоже самое. Если на Микротик1 порт 8291 открыт, то попадаем не него, иначе никуда.

Ну и на последок два интересных момента про netmap

1. При добавлении правила с отсутствующим IP назначения у микротика слегка сносит крышу. Статистика по всем правилам НАТ показывает, что мы скачали весь интернет а количество пакетов по некоторым становится отрицательным
2. Если в правиле указать to-addresses=192.168.1.11 и потом удалить этот параметр, то правило все равно будет срабатывать и будем попадать на Микротик2 даже если на первом порт 8291 открыт (естественно все соединения перед проверкой удалялись) Правило срабатыват даже через 10 часов после удаления адреса назначения (возможно до перезагрузки)

[vqd]

Запускаем винбокс с указанием IP:8045 попадаем на Микротик1
Меняем на Микротик1 порт для сервиса винбокса на 8292, запускаем винбокс с указанием IP:8045 и не попадаем никуда. Т.е. Даже имея в локальной сети Микротик2 и Микротик3 которые слушают порт 8291, входящий пакет до них не доходит.
Если в правиле заменить action=dst-nat на action=netmap то происходит тоже самое. Если на Микротик1 порт 8291 открыт, то попадаем не него, иначе никуда.

Ну так то же ожидаемо.

Я вот только понять не могу как у вас в голове складывается цепочка позволяющая сделать заключение что подобное правило само прокинет трафик до железки которые смотрит этим портом в сеть?

То что вы попадаете в винбокс непосредственно на микротике где это правило - это вполне объяснимо, а вот дальше...