NAT. Внешний ip адрес

[Corvus]

День добрый. Реально ли передавать в локалку ip адрес входящего соединения.. так как мне нужно видеть что такой то человек с таким то ip внешним соединился ко мне...а то я вижу только ip адрес шлюза... и поэтому софт иногда когда банит (fail2ban) то банит шлюз и доступ закрывается вообще...

[vqd]

Ну вы и видите внешний ИП адрес источника

[simpl3x]

он и должен передаваться в локальную сеть. если у вас конечно не стоит где то правила на scr-nat которое меняет адрес источника на адрес микротика. посмотрите все свои правила, которые в цепочке src-nat. обычно люди делают какое то общее правило маскарад, и у них все пакеты уходящие от мтика в обе стороны подменяются его адресом.
выложите свои правила /ip firewall nat

[Corvus]

В нате всего лишь такое правило

Код: Выделить всё

/ip firewall nat 
add action=dst-nat chain=dstnat dst-address=my_wan_ip_address   dst-port=port protocol=tcp  to-addresses=local_ip to-ports=port
add action=masquerade chain=srcnat

[Corvus]

Ответ найден..
Нужно ОБЯЗАТЕЛЬНО указывать на маскараде out interface... вот тогда микротик перестал подменять...на локальный(шлюзовый айпи)
Не знаю почему так... хотелось бы объяснение..на пальцах желательно )

[vqd]

Да нет, не обязательно. Все зависит от настроек и того что вы хотите.

[Corvus]

ну а больше в нате не было настроек никаких... вот когда указал на маскараде оут интерфейс все заработало как надо

[vqd]

Если честно то из вашего описания совершенно не понятно чего вы пытаетесь сделать. Возможно указать интерфейс это единственно верное решение.

[Corvus]

Дома держу пару сервисов (всякие скрипты работают и тд, также открыт доступ по ssh). Иногда меня пытаются ломать... идут переборы паролей и тд....
НО когд хочу забанить например и хочу узнать ip откуда идет перебор..то мне показывается ip адрес шлюза.. (микротика) так как микротик затирает (подменяет) src ip адрес...
НО после того как я сделал вышеописанные манипуляции с маскарадом... я начал видеть откуда кто соединяется (айпи адреса).