ssh utoky z ciny... (za natom)

[pedro4444]

Zdravim vo spolok
Riesim zaujimavy problem na mk: najprv kratka topologia
hlavny mk 192.168.1.1/29--->loco M5 ( wdsbridge)--->loco M5 (wds bridge)---> MK2 192.168.1.4/29 eth1
MK2 eth2 192.168.5.0/24 siet pre klientov


Problem je v tom ze do MK2 sa mi stale pokusa cez ssh napojit z vonku nejaka cinska ip...
Ale do MK2 nie je privedena priamo verejna ip.
V hlavnom mk robim len preklad verejnej (cez dst a src v nate) ip 1.1.1.1 na siet 192.168.5.0/24
aby som v kazdom vysielacom bode mal len jednu verejnu ip a teda nemuseli vsetci zo vsetkych bodov zdielat jednu ip.
A nejak mi stale nejde do hlavy ako moze prejst utok na ssh do MK2, ked tam nie je ziadne priame presmerovanie na ten ssh port a verejna je natovana na cely rozsah (cize ziadne priame presmerovanie)...

RIesili ste uz niekto takyto problem???

[helapc]

Tohle přesně ne, ale pomáhá změnit port ssh.

[pedro4444]

no ved to som si uz zmenil ale mne nejde do hlavy ten princip ze ako sa tam dostane a rad by som tomu pochopil ze kde robim chybu alebo co nechapem....

[aliney]

no diru tam ocividne nejakou mas, zas tak chytri ti cinani taky nejsou aby prolezli NATem jen tak

[pedro4444]

ale aku?? ine pravidlo tam nemam????
verejna tam je privedena len na ten rozsah ale este som zabudol dodat, ze spoj 192.168.1.1/29
je zas cez masquerade natovany cez hlavny Mk aby MK2 mal pristup na internet zeby tade dokazali preliezt????

[Shakal]

ma tak napadla jedna teoria, ale najskor otazka:
ty mas ku zakaznikom aj dst-nat?
ked chces aby klienti z kazdeho ap chodili cez vlastnu verejnu ip tak na to predsa staci len src-nat na hlavnej GW.

a teraz ta myslienka: ked tam mas naozaj aj dst-nat, tak ten mikrotik ma potom adresu z rozsahu 192.168.5.0/24 a jedine co ma napada je, ze sa jedna o nove spojenie z vonkajska a kedze ten port nie je nikde nasmerovany tak sa dotaz opre o vnutornu ip mk, ktora je v v automatickych dynamickych routach (kedze je DAC - dynamic, active, connected)

[pedro4444]

musi tam bty aj dst nat na cely ten rozsah 192.168.5.0/24
inak ti to spojenie neprejde pretoze to nerobim cez masq ale kazdemu rozsahu tym padom znatujem inu verejnu IP.
a jj presne mk ma na eth2 192.168.5.1/24
a myslis zeby sa na to dokazali opret??? ja ked to skusam z vonku tak mi ssh spojenie neprejde ci tam treba urobit nejake triky??
a uvazujem nad tym a nedava mi to logiku pretoze on zada tu verejnu ip 1.1.1.1 a hlavny mk to prelozi na cely rozsah to znamena ze nedefinuje to na specialnu ip MK2 192.168.5.1... spojenie ide iba od zakaznika cize zakaznik posle http://www.google ide svojou ip po hlavny a ten to prelozi z toho rozsahu zakaznika 5.0/24 na verejnu 1.1.1.1.

Ale ak tvrdim zle kludne ma opravte lebo samemu mi to nedava logiku, ako tam ten cinan prenikne...

[Shakal]

ja pouzivam len src-nat a ta verejna je nastavena na wan porte GW a net zakaznikom ide - to nie je nove, ale uz naviazane spojenie, ked sa zakaznik dotazuje von.
predsa mas od isp definovany nejaky rozsah, ktory je routovany na tvoju "verejnu" ip routera

[pedro4444]

presne tak ten rozsah je routovani na hlavny mk. Ale v hlavnom tie verejne nemam v ip adrres nahadzane... ja ich potom prenatujem preto musim pouzit aj to dst-nat skusal som to aj bez toho a net zakaznikom nesiel...
pre lepsie pochopenie pridam cez tyzden obrazok topologie...

[Shakal]

si musis tie verejne nahadzat do address listu a musi to ist aj bez dst-nat, takto mas dieru do siete

[pedro4444]

skusim aj tu metodu teda ale vedel by si mi vysvetlit ako cez tu dieru ten cinan prejde zeby so msi to vedel aj ja vyskusat tam treba nejake softiky pouzit ci ako??

[lwq]

Uz alespon tri roky zasadne veskere porty na MK pro sluzby mam zmenete na jine, vysoka cisla a problem neni zadnej. Plus pristup na porty WinBox/API/SSH je z venku nativne vyfiltrovanej.

[pedro4444]

jasne diki uz som ta pochopil a nastavil so mto tak a ide to aj tak... ale stale mi nie je jasne ako tu dieru vyuziju ked to mam tak nastavene ako predtym lebo ked to ja skusam cez putty tak ma tam na ssh toho mk nepusti ci tam treba aj nejaky figel spravit???