Dobrý den,
Jak nastavit pravidlo pro následující problém :
Potřebuji přesměrovat vše z IP 192.168.100.27:80 na IP 192.168.100.28:8000 . IP jsou v jednom subnetu /24 . Jedná se o komunikaci meteostanice (.27) vůči serveru (.28) .
Předem díky.
Pavel
❗️Toto je původní ISPforum.cz ve stavu k únoru 2020 běžící v omezeném režimu pro archivační účely. Aktivní verzi naleznete na adrese https://telekomunikace.cz
Routování
-
dagus
- Příspěvky: 1288
- Registrován: 15 years ago
Přes nat a další zařízení by to ale šlo ne? Ačkoliv je to těžce nelogické a rozhodně to není routování.
0 x
-
Sidi
- Příspěvky: 510
- Registrován: 10 years ago
NAT a stejný rozsah na obou stranách? To pochybuju, že bude fungovat. Dotaz půjde v rámci switche a na router (adresu brány) vůbec nepůjde.
Chtělo by to kontext, o co se tazatel snaží a proč. Myslím, že existuje lepší řešení ...
Chtělo by to kontext, o co se tazatel snaží a proč. Myslím, že existuje lepší řešení ...
0 x
-
fcc
- Příspěvky: 43
- Registrován: 20 years ago
- Kontaktovat uživatele:
Meteostanice odesílá data na portu 80 a protože není konfigurovatelná, je třeba natvrdo udělat přesměrování na zařízení , které má data odchytávat. Na tomto odkaze https://obrienlabs.net/redirecting-weat ... bserverip/ je do v odstavci Method 2 popsáno. Jen to nedokáži replikovat na RouterOS . Vzhledem k tomu, že to má realizované v Iptables, tak by to mělo jít.
P.
P.
0 x
-
ludvik
- Příspěvky: 4448
- Registrován: 15 years ago
Jenže ty nechápeš princip. Aby dokázal netfilter (tedy iptables) něco s paketem udělat, musí ho vidět. A v případě NAT a podobných zvěrstev musí vidět celou konexi, mít o ní nějaké ponětí (tedy záznam v conntrack tabulce).
Pokud je to traffic v rámci jednoho segmentu, tak není nikdy routovaný. Je to lokální provoz, který prostě "nevidí". Buď neopustí switch čip (na něm nic takového nenastavíš), nebo ho sice CPU routeru vidí, ale v bridge (což je softwarové řešení switche). V bridge sice můžeš udělat leccos, ale rozhodně ne takovouto NATku.
Ty dvě zařízení musí být na rozdílných sítích, aby to šlo.
Pokud je to traffic v rámci jednoho segmentu, tak není nikdy routovaný. Je to lokální provoz, který prostě "nevidí". Buď neopustí switch čip (na něm nic takového nenastavíš), nebo ho sice CPU routeru vidí, ale v bridge (což je softwarové řešení switche). V bridge sice můžeš udělat leccos, ale rozhodně ne takovouto NATku.
Ty dvě zařízení musí být na rozdílných sítích, aby to šlo.
0 x
-
rsaf
- Příspěvky: 1669
- Registrován: 19 years ago
Pokud je to tak, že meteostanice odesílá data na server v internetu na port 80 (což vyplývá z odkazovaného postupu), tak by to možná šlo:
/ip firewall nat add chain=dstnat src-address=192.168.100.27 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.100.28 to-ports=8000
/ip firewall nat add chain=srcnat src-address=192.168.100.27 dst-address=192.168.100.28 protocol=tcp dst-port=8000 action=masquerade
Ovšem je to docela prasečina a bylo by lepší hledat nějakou standardní cestu...
/ip firewall nat add chain=dstnat src-address=192.168.100.27 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.100.28 to-ports=8000
/ip firewall nat add chain=srcnat src-address=192.168.100.27 dst-address=192.168.100.28 protocol=tcp dst-port=8000 action=masquerade
Ovšem je to docela prasečina a bylo by lepší hledat nějakou standardní cestu...
0 x
-
fcc
- Příspěvky: 43
- Registrován: 20 years ago
- Kontaktovat uživatele:
-
fcc
- Příspěvky: 43
- Registrován: 20 years ago
- Kontaktovat uživatele:
Tak to vypadá, že to zabralo. Mojí logikou jsem měl udělaná první pravidlo, ale to druhé mě nenapadlo. Proč je v tom zařazená maškaráda ?
P.
P.
0 x
-
rsaf
- Příspěvky: 1669
- Registrován: 19 years ago
Tvojí logikou rozhodně nebylo ani to první pravidlo, protože jsi tvrdil:
První pravidlo říká: co má přes router projít z meteostanice na jakýkoliv webserver (:80) se přesměruje na konkrétní server v LAN (port 8000). Ovšem server v LAN tento přístup vidí z IP adresy meteostanice a na tuto adresu posílá i odpovědi => meteostanice se pokouší připojit někam, ale odpovědi chodí odjinud => nenaváže se spojení.
Pravidlo s maškarádou říká, že co jde z meteostanice přesměrované na server, změní se tomu zdrojová adresa na adresu routeru. Pro server to potom vypadá, že mu data posílá router a ne meteostanice, provoz oběma směry jde přes router a ten oběma směry zajistí změnu src/dst adresy.
což jednoznačně není pravda.Meteostanice odesílá data na portu 80
První pravidlo říká: co má přes router projít z meteostanice na jakýkoliv webserver (:80) se přesměruje na konkrétní server v LAN (port 8000). Ovšem server v LAN tento přístup vidí z IP adresy meteostanice a na tuto adresu posílá i odpovědi => meteostanice se pokouší připojit někam, ale odpovědi chodí odjinud => nenaváže se spojení.
Pravidlo s maškarádou říká, že co jde z meteostanice přesměrované na server, změní se tomu zdrojová adresa na adresu routeru. Pro server to potom vypadá, že mu data posílá router a ne meteostanice, provoz oběma směry jde přes router a ten oběma směry zajistí změnu src/dst adresy.
1 x
-
fcc
- Příspěvky: 43
- Registrován: 20 years ago
- Kontaktovat uživatele:
-
Julian
- Příspěvky: 369
- Registrován: 16 years ago
- antispam: Ano
- Kontaktovat uživatele:
rsaf píše:Tvojí logikou rozhodně nebylo ani to první pravidlo, protože jsi tvrdil:což jednoznačně není pravda.Meteostanice odesílá data na portu 80
První pravidlo říká: co má přes router projít z meteostanice na jakýkoliv webserver (:80) se přesměruje na konkrétní server v LAN (port 8000). Ovšem server v LAN tento přístup vidí z IP adresy meteostanice a na tuto adresu posílá i odpovědi => meteostanice se pokouší připojit někam, ale odpovědi chodí odjinud => nenaváže se spojení.
Pravidlo s maškarádou říká, že co jde z meteostanice přesměrované na server, změní se tomu zdrojová adresa na adresu routeru. Pro server to potom vypadá, že mu data posílá router a ne meteostanice, provoz oběma směry jde přes router a ten oběma směry zajistí změnu src/dst adresy.
rsaf si zaslozi pochvalu, jde nam vsem prikladem, pro tyto veci fora vznikala, pro pratelskou pomoc, nikoliv pro honeni vlastnich eg... a jinych casti nasich osobnosti...
R
2 x