Stránka 1 z 1
Firewall
Napsal: 22 May 2015 09:14
od fala
Zdravím,
potřeboval bych poradit jak na přesměrování portů na server.
Na adrese 192.168.0.103 mám server s pevnou IP adresou na kterém mi běží IIS a pošta a pod. Proto bych sem chtěl směrovat porty 80, 110, 25 apod. Udělal jsem dstnat na local-bridge na 192.168.0.103. tohle se zdá, že funguje, ale když z klientského počítače zadám v prohlížeči
www.seznam.cz, tak se to přesměruje na můj server 192.168.0.103 a končím. Mohl bych to celé hodit na Ether1, ale chtěl bych to mít dostupné i v lokální síti
Můžete mi prosím vysvětlit, jak to správně filtrovat?
Díky
Re: Firewall
Napsal: 22 May 2015 09:28
od Petr S.
dej si tam do pravidel ještě že ten požadavek musí přijít s cílovou adresou na tvoji veřejku...
Re: Firewall
Napsal: 22 May 2015 09:34
od fala
aha, já si s tím lámu hlavu a taková prkotina. Dík
Re: Firewall
Napsal: 23 May 2015 12:11
od fala
tak ten problém je větší než jsem myslel. Když tam dám omezení, že to musí přijít z venku, tak z venku to funguje, ale z mojí sítě nikoliv.
Re: Firewall
Napsal: 23 May 2015 13:24
od Mazzalo
Ahoj, dej sem výpis konfigurace...
Re: Firewall
Napsal: 23 May 2015 13:45
od Petr S.
No jasně. Zvenku to jde protože se uplatní pravidlo. Z vnitřní sítě to nejde, protože odchozí packety sice jdou na tvoji veřejku a nat se provede, ale odpověď jde zpět přes místní síť (už se nevrací zpět přes router). Jsou dvě možnosti. Buď se na to vykvákneš a z vnitřní sítě budeš na server chodit přes vnitřní adresu, a nebo musíš udělat Harpin NAT.
http://wiki.mikrotik.com/wiki/Hairpin_NAT
Re: Firewall
Napsal: 23 May 2015 19:25
od fala
ok, tak jsem to udělal tak, že dstnat jde pouze z veřejné adresy na můj server a vše zevnitř ženu ven, ať se to vrátí. tohle funguje, když je tam maškaráda z local-bridge. bohužel, maškaráda mi přeloží IP adresu na 192.168.0.1, což mi sakra vadí na poštovním serveru.
Kód: Vybrat vše
/ip firewall filter
add chain=input comment=ping protocol=icmp
add chain=input comment="p\F8\EDstup z internetu" dst-port=\
80,443,25,110,8080-8099,8291 protocol=tcp
add chain=output protocol=tcp
add chain=output connection-state=established,related
add chain=input comment=telefon protocol=udp
add chain=forward disabled=yes protocol=udp
add chain=output protocol=udp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=85.92.63.94 dst-port=\
80,443,25,110,8080-8099 protocol=tcp to-addresses=192.168.0.103
add action=masquerade chain=srcnat out-interface=ether1-gateway protocol=tcp
add action=masquerade chain=srcnat out-interface=bridge-local protocol=tcp
Re: Firewall
Napsal: 23 May 2015 20:31
od Mazzalo
V čem ti to vadí? Pokud máš od poskytovatele správně nastavený reverzní DNS záznam, tak žádný problém nevidím.
Sent from my iPad using Tapatalk
Re: Firewall
Napsal: 24 May 2015 20:53
od fala
Mazzalo píše:V čem ti to vadí? Pokud máš od poskytovatele správně nastavený reverzní DNS záznam, tak žádný problém nevidím.
na mail serveru je nastaveno, že máš 3 pokusy na přihlášení z jedné IP, jinak tě na 30 min. odstaví. tzn. hacker se tam sice nedostane, ale na 30 min taky nikdo jiný bo to IP je 192.168.0.1
Re: Firewall
Napsal: 26 May 2015 14:18
od schrotterp
tak si tam nastav pouze src address ne vsetko