Страница 1 из 1
dst-nat с участием ip firewal address list
Добавлено: 09 июн 2019, 19:28
anad
То ли лыжи не едут, то ли .. баг, то ли ..
Есть микротик, уже "голый" то есть WAN статикой
выход в инет через маскарадинг ..., dhcp - собственно все
добавлено два правила:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 src-address=al1 action=dst-nat to-addresses=192.168.1.100 to-ports=3001
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 src-address=al2 action=dst-nat to-addresses=192.168.1.101 to-ports=3001
первое срабатывает, во второе нет попаданий .. меняю местами , опять работает первое .. :(
многого хочу или баг, или .. чего -то не понимаю.
если в правилах поставить разные dst-port - то все работает.
цель простая - в зависимости от листа уводить на разные внутренние порты одного сервиса.
Может кто сталкивался. ?
Re: dst-nat с участием ip firewal address list
Добавлено: 09 июн 2019, 19:54
vladislav.granovskiy
а вы сами сможете зайти в одну дверь, а выйти в двух?
и у микротика правила работают с верху в низ (по порядку).
Re: dst-nat с участием ip firewal address list
Добавлено: 09 июн 2019, 20:05
bst-botsman
anad писал(а): ↑09 июн 2019, 19:28
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 src-address=al1 action=dst-nat to-addresses=192.168.1.100 to-ports=3001
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 src-address=al2 action=dst-nat to-addresses=192.168.1.101 to-ports=3001
Раз уж Вам необходима проверка на определенный адрес-лист то может правильно будет src-address-list=al1 ?
Re: dst-nat с участием ip firewal address list
Добавлено: 10 июн 2019, 07:48
Kato
anad писал(а): ↑09 июн 2019, 19:28
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000 s
rc-address=al1 action=dst-nat to-addresses=192.168.1.100 to-ports=3001
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3000
src-address=al2 action=dst-nat to-addresses=192.168.1.101 to-ports=3001
цель простая -
в зависимости от листа уводить на разные внутренние порты одного сервиса.
где они, "листы"?
Re: dst-nat с участием ip firewal address list
Добавлено: 10 июн 2019, 09:08
anad
Kato писал(а): ↑10 июн 2019, 07:48
где они, "листы"?
там именно листы, это когда убивал имя листов и IP отличился. (
попробую еще раз волшебный netinstall и конфиг с нуля, но оно в при перестановке срабатывало первым
Re: dst-nat с участием ip firewal address list
Добавлено: 13 июн 2019, 20:30
anad
добрался таки до теста вот конфиг
nterface bridge
/interface list
add name=WAN
add name=LAN
/ip pool
add name=dhcp ranges=192.168.88.20-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge disabled=yes interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=bridge list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=10.10.10.10 list=a1
add address=10.10.20.10 list=a2
/ip firewall filter
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=forward connection-state=established,related,untracked
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat protocol=tcp src-address-list=a1 \
to-addresses=192.168.88.10 to-ports=80
add action=dst-nat chain=dstnat protocol=tcp src-address-list=a2 \
to-addresses=192.168.88.10to-ports=80
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
в таком конфиге dst-nat от 10.10.10.10 к 192.168.88.10 срабатывает, а вот от 10.10.20.10 к 192.168.88.10 нет, счеичики обращений ко второму листу не шевелятся.
если поменять листы dst-nat местами - то опять работает только первый. ( то есть они меняются)
Если заменить src-address-list на конкретный IP все работает..
Устройство HAP ac2
проверено на 6.43.10 и 6.44.2