Доброго вам уважаемые форумчане, и вот пятница и закономерный тупеж перед праздниками. Собственно кейс есть белый айпи от провайдера допустим 1.1.1.1 висящий на внешнем интерфейсе eth01, нужно, чтобы при запросе по 80, 443 с наружи на 1.1.1.1 трафик уходил через тотже интерфейс на 2.2.2.2, другими словами, чтобы при запросе к моему айпи открывался сайт расположенный в интернете.
Изнутри локалки все делается на ура, а вот снаружи не выходит каменный цветок.
Одним мловом хелп плиз.
Перенаправление с одного белого ip на другой на внешнем интерфейсе
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Кроме dst-nat'а добавляйте src-nat в "1.1.1.1".
Либо туннель.
Либо туннель.
Telegram: @thexvo
-
KentAVr
- Сообщения: 75
- Зарегистрирован: 01 июн 2012, 15:32
Спасибо за ответ, но не совсем понимаю как src-nat можно принять и отправить на один и тот же порт. Если сорс натить из порта и нетмапить в адрес 1.1.1.1 то микротик будет ругаться. Впрочем он будет ругаться при любом сорснате с порта на адре который привязан к этому порту и наоборот.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
На микротик приходит пакет.
Сначала вы делаете dst-nat, чтобы пакет отправить на нужный адрес.
После этого вы ему должны поменять и адрес источника на свой (а то вам провайдер его тут же вернет, после того, как пакет улетит к нему, и так далее до исчерпания ttl).
Сначала вы делаете dst-nat, чтобы пакет отправить на нужный адрес.
После этого вы ему должны поменять и адрес источника на свой (а то вам провайдер его тут же вернет, после того, как пакет улетит к нему, и так далее до исчерпания ttl).
Telegram: @thexvo
-
KentAVr
- Сообщения: 75
- Зарегистрирован: 01 июн 2012, 15:32
Еще раз спасибо за ответ. Да суть ясна. Более того, так как я описал общую задачу, но мне достаточно и часной, т.е. Можно перенаправлять не на айпи, а на сайт, то в теории все можно сделать и через веб прокси и тогда микротик будет жрать меньше ресурсов, потому как будет просто делать отлуп с редиректом на нужный сайт. Но тут встала новая проблема. Я както нестандартно закрыл доступ к микротику и теперь не смотря на разрешающие правила инпут стоящие в начале, микротик всеравно не принимает коннект. Специально разрешил коннект к винбоксу откуда угодно по 81 порту в фаерволе открыл инпут на 81. Но с наружи приконектиться не могу изнутри легко. Собственно вопрос есть идеи где и каким образом можно блокирнуть доступ к телу на внешних портах?
-
KentAVr
- Сообщения: 75
- Зарегистрирован: 01 июн 2012, 15:32
Все разобрался, просто забыл в аксес поставить порт прокси, в итоге сделал, чере прокси
/ip proxy
set enabled=yes
/ip proxy access
add action=deny redirect-to=site.ru
/ip firewall nat
add action=redirect chain=dstnat dst-port=80,443 in-interface=eth0 protocol=tcp to-ports=8181
Ну и в фильтрах разрешить импут на eth0 80,443,8181
Еще раз большое спасибо.
/ip proxy
set enabled=yes
/ip proxy access
add action=deny redirect-to=site.ru
/ip firewall nat
add action=redirect chain=dstnat dst-port=80,443 in-interface=eth0 protocol=tcp to-ports=8181
Ну и в фильтрах разрешить импут на eth0 80,443,8181
Еще раз большое спасибо.