Страница 14 из 20
Re: Проброс портов и не только
Добавлено: 07 май 2021, 00:36
xvo
Нужно правило со смыслом:
Код: Выделить всё
/ip firewall filter add chain=forward action=accept connection-nat-state=dst-nat
В дефолтном firewall'е оно включено внутрь последнего дропающего правила цепочки forward - там смысл что дропаестся все, что из wan но, не прошло dst-nat.
Re: Проброс портов и не только
Добавлено: 08 май 2021, 19:44
klod
xvo писал(а): ↑07 май 2021, 00:36
Нужно правило со смыслом:
Код: Выделить всё
/ip firewall filter add chain=forward action=accept connection-nat-state=dst-nat
В дефолтном firewall'е оно включено внутрь последнего дропающего правила цепочки forward - там смысл что дропаестся все, что из wan но, не прошло dst-nat.
Спасибо, все получилось
Re: Проброс портов и не только
Добавлено: 11 июн 2021, 10:40
antropov.valeriy
Добрый день.
Прошу помощи в решении одной задачи.
Я пробрасываю порт на Микротике на внутренний сервер RDP. На самом сервере настраиваю программу IP BAN,
которая блокирует ip адрес пользователя если он неправильно ввел пароль некоторое количество раз.
Проблема в том что программа не срабатывает, потому что видит всех пытающихся подключиться как внутренний ip адрес Микротика.
Насколько мог прочитал все мануалы и примеры в сети которые нашел, либо не понимаю, либо до меня не доходит. )
Данная настройка лично у меня без проблем работает на любом роутере за 5$, Centos, FreeBSD, на Микротике почему то нет.
Правило :
;;; RDP TERMINAL
chain=dstnat action=netmap to-addresses=10.0.0.115 to-ports=3389 protocol=tcp dst-address=X.X.X.X dst-port=6666 log=yes log-prefix="115))))"
Пытался согласно мануалам и same, и netmap который в принципе используется для создания NAT 1:1.
С благодарностью бы принял помощь мастера спорта по Микротику.
Re: Проброс портов и не только
Добавлено: 11 июн 2021, 10:49
xvo
У вас где-то еще одно правило, которое делает src-nat или masquerade во внутренний интерфейс.
И да, никакой netmap тут не нужен, используйте action=dst-nat
Re: Проброс портов и не только
Добавлено: 11 июн 2021, 11:18
antropov.valeriy
Верно на интерфейсе смотрящем в эту подсеть.
chain=srcnat action=masquerade out-interface=dc_lan_10.0.0.0 log=no log-prefix=""
Как мне это обойти, или ( я уже чувствую что это странно звучит)) исключить только один порт из маскарадинга ?
Re: Проброс портов и не только
Добавлено: 11 июн 2021, 11:30
xvo
Вероятно оно вам нужно для hairpin nat’а - доступа на внутренние ресурсы по внешнему IP. Вот и добавьте в него исключение, чтобы оно действовало для того, что идет изнутри, но не снаружи.
Re: Проброс портов и не только
Добавлено: 11 июн 2021, 11:47
antropov.valeriy
Огромное спасибо, сервер теперь видит реальный ip пользователя.
У меня получилось вот так.
chain=srcnat action=masquerade dst-address=!10.0.0.115 out-interface=dc_lan_10.0.0.0 log=no log-prefix=""
Единственное плохо , я не понимаю до конца на что это повлияет и в логах появились строчки при подключении:
dstnat: in:Intrernet_if out:(unknown 0), src-mac ea:cb:11:0a:78:4f, proto TCP (SYN), (IP пользователя):55007->(Внешний IP) :6666, len 52
Еще вчера ночью по этой ошибке я находил вот такой ответ на одном из форумов:
"проброс портов на железных Микротиках (с софтовыми не работал) иногда требует специального описания маскарада для ответных пакетов. признаком такой ситуации как раз является состояние соединения "syn sent". для решения требуется создать еще одно правило маскарада
add action=masquerade chain=srcnat dst-address=10.50.0.200 dst-port=445 protocol=tcp "
Вот тут я уже не понял. Или это не про то ?
Re: Проброс портов и не только
Добавлено: 11 июн 2021, 12:13
xvo
Это вообще не ошибка.
Какое-то из ваших правил в лог и пишет: отмените на нем логгирование, если эти сообщения вам в логе не нужны.
antropov.valeriy писал(а): ↑11 июн 2021, 11:47
Единственное плохо , я не понимаю до конца на что это повлияет
Повлияет на то, что на этот серевер не получится ходить по внешнему IP из его же подсети.
Так что можно это условие
dst-address=!10.0.0.115 заменить на
src-address=10.0.0.0/24.
Re: Проброс портов и не только
Добавлено: 31 окт 2021, 19:42
Turik
Нужна помощь! Не работает проброс портов
0 ;;; defconf: masquerade
chain=srcnat action=masquerade log=no log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=192.168.148.209 protocol=tcp
dst-address=10.11.218.39 in-interface=ether1 dst-port=80,443,3478-3480
log=no log-prefix=""
2 chain=dstnat action=dst-nat to-addresses=192.168.148.209 protocol=udp
dst-address=10.11.218.39 in-interface=ether1 dst-port=3478-3479 log=no
log-prefix=""
Подскажите, что я делаю не так?
Re: Проброс портов и не только
Добавлено: 31 окт 2021, 20:49
mafijs
10.11.218.39 "серый" ИП адрес. Проброс не cработает.
10.11.218.39 - Reserved IPv4 Address for private internet use
Remember that IP address ranges 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255 and 224.0.0.0 - 239.255.255.255
are reserved IP Addresses for private internet use and IP lookup for these will not return any results.