Zdravím, mám dotaz
v mé LAN síti mám server, na kterém běží různé služby a má nastavený firewall, který když se někdo pokouší o útok tak tu danou IP adresu zablokuje.
Jenže mám problém, na mém mikrotiku který dělá router do internetu mám nastavený port forward na daný server, který překládá veřejné adresy na vnitřní adresu s IP default gateway 10.0.0.138. Problém nastává tehdy když někdo zaútoči z venku tak firewall na serveru zařízne ip addresu mé default gateway 10.0.0.138 a održízne veškerý přístup z venčí.
Jde nějak nastavit NATování tak aby router uchovávál veřejné adresy i v mé LAN síti ? aby firewal na serveru mohl zablokovat veřejnou IP adresu útočníka a neodržízl tak celý přístup z venčí ?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
NAT se zachováním veřejné IP adresy
Když nevíme, jak to máš udělané, tak nevíme ...
Ale tak se to samozřejmě nedělá. DNAT (alias port forward) je destination-network-address-translation. Tedy přepisuje se jen IP adresa cíle. Zdrojová zůstává a tedy ten server ví, kdo mu tam leze. Důvod pro překlad SRC mě teď tedy zrovna nenapadá.
Ale tak se to samozřejmě nedělá. DNAT (alias port forward) je destination-network-address-translation. Tedy přepisuje se jen IP adresa cíle. Zdrojová zůstává a tedy ten server ví, kdo mu tam leze. Důvod pro překlad SRC mě teď tedy zrovna nenapadá.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
vohralik.t
- Příspěvky: 43
- Registrován: 11 years ago
nastavené to je takto:
10.0.0.1 je adresa serveru
druhý obrázek je překla portů
10.0.0.1 je adresa serveru
druhý obrázek je překla portů
0 x
ked tam mas ako prve pravidlo SRC nat na server tak sa nie je čomu čudovať 
ma to nejaky dôvod to tam mať?
ma to nejaky dôvod to tam mať?
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
vohralik.t
- Příspěvky: 43
- Registrován: 11 years ago
Noxus28 píše:ked tam mas ako prve pravidlo SRC nat na server tak sa nie je čomu čudovať
důvod to má ten, že sem se z LAN sítě nedostal na mojí veřejnou IP adresu, proto jsem přidal tuto maškarádu
jak je tedy správná konfigurae ?
0 x
Z venku se samozřejmě SRCNAT neprovádí. Jak máš vědět zdrojovou adresu, když si jí přepíšeš?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
vohralik.t
- Příspěvky: 43
- Registrován: 11 years ago
ludvik píše:Z venku se samozřejmě SRCNAT neprovádí. Jak máš vědět zdrojovou adresu, když si jí přepíšeš?
a mohl by jste mi prosím říct jak to mám nastavit ? bohužel si s tím sám nevím rady
0 x
smaž to! klávesa DEL, nebo ikonka s červenou pomlčkou.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
vohralik.t
- Příspěvky: 43
- Registrován: 11 years ago
ludvik píše:smaž to! klávesa DEL, nebo ikonka s červenou pomlčkou.
tím ale ztratím pointu toho proč jsem to tam měl, v tu chvíli mi přestane fungovat provoz z vnitřní sítě na weby které mi běží na serveru přes veřejnou adresu
0 x
Spíš je otázkou, proč to potřebuješ. Zbytečně ti jde provoz na router, přes jeho CPU a zase zpět. Není lepší to honit jenom lokálně?
Pokud máš na tom mikrotiku i DNS, dej si to tam jako statický záznam.
Pokud máš na tom mikrotiku i DNS, dej si to tam jako statický záznam.
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
vohralik.t
- Příspěvky: 43
- Registrován: 11 years ago
DNS směřuje na ISP ale zkusím ho nakofigurovat na MK díky za radu
0 x
http://wiki.mikrotik.com/wiki/Hairpin_NAT
preštuduj a je to, musiš mať aj vyčclenené pre aké adresy sa tá maškaráda má robiť, ty to predkladáš všetko tak niet divu
preštuduj a je to, musiš mať aj vyčclenené pre aké adresy sa tá maškaráda má robiť, ty to predkladáš všetko tak niet divu
1 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Zdravím,
předem upozorňuji, že jsem naprostý laik co se týče mikrotiku i síťování. Ale snažím se a učím se
Přispěl bych k tomuto svojí zkušeností. Mám net doma i v práci od jednoho poskytovatele, takže se s ntb pohybuji stále v jeho síti.
Chtěl jsem doma ze své lan přistupovat přes doménové jméno na své dva webservery.
Mám sice stálou veřejnou adresu, ale ne na MK poskytovatele. Na něm je adresa 10.0.13.183 (přes ní spravuje MK) a 10.0.13.178, přes kterou se já dostanu na svůj MK. Z jeho MK dostane ten můj MK adresu 192.168.1.2
Nastavené to mám následovně:
Na střeše je MK poskytovatele. Na něm je jen toto NAT pravidlo
/ip firewall nat
add action=netmap chain=srcnat comment="netmap " src-address=\ 192.168.1.2 to-addresses=10.0.13.178
add action=netmap chain=dstnat dst-address=10.0.13.178 to-addresses=\ 192.168.1.2
a na svém MK mám toto pro přístup na webserver ve své síti přes název domény:
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \ out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment="Web - WAN" dst-address=10.0.13.183 \ dst-port=80 protocol=tcp to-addresses=192.168.10.10 to-ports=80
add action=dst-nat chain=dstnat comment="Web - LAN" dst-address=moje veřejná ip\ dst-port=80 protocol=tcp to-addresses=192.168.10.10 to-ports=80
add action=src-nat chain=srcnat comment="Web - LAN" dst-address=192.168.10.10 \ dst-port=80 protocol=tcp to-addresses=10.0.13.183 to-ports=0-65535
asi to není úplně správně, ale funguje to. Zkoušel i tento návod http://wiki.mikrotik.com/wiki/Hairpin_NAT , ale nefungovalo to.
Třeba to někomu pomůže.
předem upozorňuji, že jsem naprostý laik co se týče mikrotiku i síťování. Ale snažím se a učím se
Přispěl bych k tomuto svojí zkušeností. Mám net doma i v práci od jednoho poskytovatele, takže se s ntb pohybuji stále v jeho síti.
Chtěl jsem doma ze své lan přistupovat přes doménové jméno na své dva webservery.
Mám sice stálou veřejnou adresu, ale ne na MK poskytovatele. Na něm je adresa 10.0.13.183 (přes ní spravuje MK) a 10.0.13.178, přes kterou se já dostanu na svůj MK. Z jeho MK dostane ten můj MK adresu 192.168.1.2
Nastavené to mám následovně:
Na střeše je MK poskytovatele. Na něm je jen toto NAT pravidlo
/ip firewall nat
add action=netmap chain=srcnat comment="netmap " src-address=\ 192.168.1.2 to-addresses=10.0.13.178
add action=netmap chain=dstnat dst-address=10.0.13.178 to-addresses=\ 192.168.1.2
a na svém MK mám toto pro přístup na webserver ve své síti přes název domény:
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \ out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment="Web - WAN" dst-address=10.0.13.183 \ dst-port=80 protocol=tcp to-addresses=192.168.10.10 to-ports=80
add action=dst-nat chain=dstnat comment="Web - LAN" dst-address=moje veřejná ip\ dst-port=80 protocol=tcp to-addresses=192.168.10.10 to-ports=80
add action=src-nat chain=srcnat comment="Web - LAN" dst-address=192.168.10.10 \ dst-port=80 protocol=tcp to-addresses=10.0.13.183 to-ports=0-65535
asi to není úplně správně, ale funguje to. Zkoušel i tento návod http://wiki.mikrotik.com/wiki/Hairpin_NAT , ale nefungovalo to.
Třeba to někomu pomůže.
0 x