classic.ISPforum.cz

Zdravím, mám dotaz

v mé LAN síti mám server, na kterém běží různé služby a má nastavený firewall, který když se někdo pokouší o útok tak tu danou IP adresu zablokuje.

Jenže mám problém, na mém mikrotiku který dělá router do internetu mám nastavený port forward na daný server, který překládá veřejné adresy na vnitřní adresu s IP default gateway 10.0.0.138. Problém nastává tehdy když někdo zaútoči z venku tak firewall na serveru zařízne ip addresu mé default gateway 10.0.0.138 a održízne veškerý přístup z venčí.

Jde nějak nastavit NATování tak aby router uchovávál veřejné adresy i v mé LAN síti ? aby firewal na serveru mohl zablokovat veřejnou IP adresu útočníka a neodržízl tak celý přístup z venčí ?

Když nevíme, jak to máš udělané, tak nevíme ...

Ale tak se to samozřejmě nedělá. DNAT (alias port forward) je destination-network-address-translation. Tedy přepisuje se jen IP adresa cíle. Zdrojová zůstává a tedy ten server ví, kdo mu tam leze. Důvod pro překlad SRC mě teď tedy zrovna nenapadá.

nastavené to je takto:

10.0.0.1 je adresa serveru
druhý obrázek je překla portů

ked tam mas ako prve pravidlo SRC nat na server tak sa nie je čomu čudovať ma to nejaky dôvod to tam mať?

Noxus28 píše:ked tam mas ako prve pravidlo SRC nat na server tak sa nie je čomu čudovať ma to nejaky dôvod to tam mať?

důvod to má ten, že sem se z LAN sítě nedostal na mojí veřejnou IP adresu, proto jsem přidal tuto maškarádu
jak je tedy správná konfigurae ?

Z venku se samozřejmě SRCNAT neprovádí. Jak máš vědět zdrojovou adresu, když si jí přepíšeš?

ludvik píše:Z venku se samozřejmě SRCNAT neprovádí. Jak máš vědět zdrojovou adresu, když si jí přepíšeš?

a mohl by jste mi prosím říct jak to mám nastavit ? bohužel si s tím sám nevím rady

smaž to! klávesa DEL, nebo ikonka s červenou pomlčkou.

ludvik píše:smaž to! klávesa DEL, nebo ikonka s červenou pomlčkou.

tím ale ztratím pointu toho proč jsem to tam měl, v tu chvíli mi přestane fungovat provoz z vnitřní sítě na weby které mi běží na serveru přes veřejnou adresu

Spíš je otázkou, proč to potřebuješ. Zbytečně ti jde provoz na router, přes jeho CPU a zase zpět. Není lepší to honit jenom lokálně?

Pokud máš na tom mikrotiku i DNS, dej si to tam jako statický záznam.

DNS směřuje na ISP ale zkusím ho nakofigurovat na MK díky za radu

http://wiki.mikrotik.com/wiki/Hairpin_NAT
preštuduj a je to, musiš mať aj vyčclenené pre aké adresy sa tá maškaráda má robiť, ty to predkladáš všetko tak niet divu

Zdravím,
předem upozorňuji, že jsem naprostý laik co se týče mikrotiku i síťování. Ale snažím se a učím se
Přispěl bych k tomuto svojí zkušeností. Mám net doma i v práci od jednoho poskytovatele, takže se s ntb pohybuji stále v jeho síti.
Chtěl jsem doma ze své lan přistupovat přes doménové jméno na své dva webservery.
Mám sice stálou veřejnou adresu, ale ne na MK poskytovatele. Na něm je adresa 10.0.13.183 (přes ní spravuje MK) a 10.0.13.178, přes kterou se já dostanu na svůj MK. Z jeho MK dostane ten můj MK adresu 192.168.1.2
Nastavené to mám následovně:
Na střeše je MK poskytovatele. Na něm je jen toto NAT pravidlo
/ip firewall nat
add action=netmap chain=srcnat comment="netmap " src-address=\ 192.168.1.2 to-addresses=10.0.13.178
add action=netmap chain=dstnat dst-address=10.0.13.178 to-addresses=\ 192.168.1.2

a na svém MK mám toto pro přístup na webserver ve své síti přes název domény:
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \ out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment="Web - WAN" dst-address=10.0.13.183 \ dst-port=80 protocol=tcp to-addresses=192.168.10.10 to-ports=80
add action=dst-nat chain=dstnat comment="Web - LAN" dst-address=moje veřejná ip\ dst-port=80 protocol=tcp to-addresses=192.168.10.10 to-ports=80
add action=src-nat chain=srcnat comment="Web - LAN" dst-address=192.168.10.10 \ dst-port=80 protocol=tcp to-addresses=10.0.13.183 to-ports=0-65535

asi to není úplně správně, ale funguje to. Zkoušel i tento návod http://wiki.mikrotik.com/wiki/Hairpin_NAT , ale nefungovalo to.

Třeba to někomu pomůže.