Страница 1 из 3
Проброшенные порты... (лыжи не едут)
Добавлено: 15 ноя 2016, 11:39
EdkiyGluk
Доброго времени суток =)
Что-то у меня какой-то ступор настал.. Может недосып...
Ситуация такова: есть белый IP... с внешки проброшен порт, например 8022 на 192.168.10.100:22
В самом верху фильтров фаервола торчит правило, которое должно отлавливать обращение к проброшенному порту 8022... Правило не ловит пакеты. А если убрать порт 8022 из ната, то правило работает... Правило ставил и на инпут, и на форвард, и что только не делал... не работает и всё тут(((
Re: Проброшенные порты... (лыжи не едут)
Добавлено: 15 ноя 2016, 12:11
KARaS'b
Насколько я помню, в фаеровле почему то указывается действительный порт в вашем случае 22, а вот в нате - dst. port это "кривой" 8022, а to ports уже нормальный - 22
Re: Проброшенные порты... (лыжи не едут)
Добавлено: 15 ноя 2016, 14:02
Vlad-2
EdkiyGluk писал(а):Доброго времени суток =)
Что-то у меня какой-то ступор настал.. Может недосып...
Ситуация такова: есть белый IP... с внешки проброшен порт, например 8022 на 192.168.10.100:22
В самом верху фильтров фаервола торчит правило, которое должно отлавливать обращение к проброшенному порту 8022... Правило не ловит пакеты. А если убрать порт 8022 из ната, то правило работает... Правило ставил и на инпут, и на форвард, и что только не делал... не работает и всё тут(((
1) слегка всё же я не всё понял
2) сделайте в Filter Rules правило JUMP и попробуйте им отловить хотя бы что угодно на 8022 порту
3) проверьте ещё раз внутри правил отвечающие за порт 22 и 8022 - нет ли там строчек пустых,
по началу когда я начинал работать в винбоксе замечал что когда тыкаешь на каком то поле, поле активируется,
туда что-то подставляется, а потом из-за этого и не работает.
4) ещё может быть у Вас нахлёст произошёл, проброс на порт 22 и порт 22 в самом микротике....попробуйте отключить в микротике временно сервис SSH
5) В правиле проброса поиграйтесь с такими полями (попробуйте использовать то одно, то потом другое) как - DST.Port и Any.Port
6) удалить все правила связанные с портом 8022 (и проброс и NAT) и сделать заново.
Re: Проброшенные порты... (лыжи не едут)
Добавлено: 15 ноя 2016, 14:13
EdkiyGluk
Вот так выглядит правило проброса порта
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 \
dst-port=8022 protocol=tcp to-addresses=\
192.168.0.195 to-ports=22
Вот так выглядит правило в в фильтрах фаервола
add action=accept chain=input dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp
в фильтре ставил и форвард и прочие радости.... не работает.... но если "грохнуть" правило ната, то фильтр начинает работать...
====================================
Такая же картина с каждым проброшенным портом... ((((
Re: Проброшенные порты... (лыжи не едут)
Добавлено: 15 ноя 2016, 14:15
KARaS'b
Я же написал, в фаерволе почему то надо указывать НЕ "кривой" - 8022, А "нормальный" - 22, тогда заработает.
Re: Проброшенные порты... (лыжи не едут)
Добавлено: 15 ноя 2016, 14:26
EdkiyGluk
неа(((( не работает тоже
Re: Проброшенные порты... (лыжи не едут)
Добавлено: 15 ноя 2016, 14:28
gmx
Очевидно правило проброса срабатывает раньше, чем правила фильтрации.
Re: Проброшенные порты... (лыжи не едут)
Добавлено: 15 ноя 2016, 14:28
KARaS'b
Если 192.168.10.100 это не сам микротик, то в фаервольное правило не правильное, у вас цепочка input, а должна быть forward
Re: Проброшенные порты... (лыжи не едут)
Добавлено: 15 ноя 2016, 14:29
KARaS'b
gmx писал(а):Очевидно правило проброса срабатывает раньше, чем правила фильтрации.
От блин, век живи, век учись. Надо наверно все же курсы посетить)))
Re: Проброшенные порты... (лыжи не едут)
Добавлено: 15 ноя 2016, 14:34
EdkiyGluk
gmx писал(а):Очевидно правило проброса срабатывает раньше, чем правила фильтрации.
Т.е. фильтрами мы никак не закрываем проброшенные порты?