classic.ISPforum.cz

Kedze policko Hledej je absolutne neschopne tak stoprvy krat davam dotaz,
ake pravidlo v Mikrotiku vo firewalle ci inde v MK dat aby som sa z vnutornej siete dostal na masinu ktora je pripojena tiez v tej istej vnutornej sieti ale je na nu smerovana verejna IP aj DNS zaznam pre tu verejnu IP a domenove meno.
Taketo nieco ani obdoba toho mi nefunguje:
add action=dst-nat chain=dstnat comment="Presmerovanie pre pristup klientov z LAN na stroj s verejnou IP." disabled=no dst-address=ver.jna.ip.adr dst-port=80 protocol=tcp to-addresses=192.168.1.10 to-ports=80
Treba si uvedomit, ze vsetko z lokalnej sete je nakoniec smerovane na 192.168.1.1 a tam je pes zakopany. V Torch vidim ze na LAN rozhrani servera 192.168.1.1 sa klient sape na tu verenu IP toho klientskeho routra ale odpoved nedostane lebo to ide prec dalej na hranicny router (asi) ale zaujimave je ze to DST-nat pravidlo nezabera aj ked prichadazjuca komunikacia spada pod to pravidlo.
Skusane aj s portom aj bez aj so specifikoanim dst rozhrania aj bez.. nejde... babo rad ! -)

topologia, vid prilozeny obrazok
Diky.

Možná budeš mít někde pravidla typu "established, related" případně "new without SYN". Ty do toho kecají také.
Totiž na to pravidlo dojde jen první paket - přepíše se mu cílová adresa a odroutuje. Dojde to tam co má - a vrací se to napřímo mimo tu NATku, src address jsi totiž nezměnil. A klient je trochu zmatený, neboť komunikuje s adresou X (veřejnou), ale odpovědi chodí z Y (vnitřní). Si to zkus odchytit na všech rozhraních všech zařízení a uvidíš.

Lepší je to ovšem řešit DNSkou a vykašlat se na nat uvnitř sítě.

ludvik píše:Možná budeš mít někde pravidla typu "established, related" případně "new without SYN". Ty do toho kecají také.
Totiž na to pravidlo dojde jen první paket - přepíše se mu cílová adresa a odroutuje. Dojde to tam co má - a vrací se to napřímo mimo tu NATku, src address jsi totiž nezměnil. A klient je trochu zmatený, neboť komunikuje s adresou X (veřejnou), ale odpovědi chodí z Y (vnitřní). Si to zkus odchytit na všech rozhraních všech zařízení a uvidíš.

Lepší je to ovšem řešit DNSkou a vykašlat se na nat uvnitř sítě.

Tak ako cez DNS?

Správná síť by měla mít DNS servery někde uvnitř. A pak není problém mít záznam "server.firma.cz" ukazující na 192.168.1.10, ale na ostatních DNS mimo síť nechat správně veřejnou IP.

Nebo řešení hrubou silou - na stanicích záznamy v souboru hosts.