classic.ISPforum.cz

Ahoj,

mám takovej blbej dotaz

Nastavil jsem si NAT 1:1



Vše jede, ale teď bych chtěl ještě firewallem nějaký IP adresy, který přistupujou na tu veřejnou IP zaříznout. Ale nějak se mě nedaří. Podle mě je to forward chain, takže něco takého... ale nejede mi to. Netuší někdo, kde by mohl být zádrhel? Někde mám nějakou blbou chybu...

Podívej se na obrázek Packet Flow. Třeba na wiki.mikrotik.com

Pak ti to bude jasné. V momentě, kdy jde paket forwardem tam už ta veřejná IP není.

No, ale když si dám Torch, tak tam vidím, že někdo přistoupil z veřejky a jde to na tu vnitřní IP... Nebo to co ukazuje Torch nemusí přesně odpovídat?

Ano ... jde z nějaké veřejné (tu neměníš), na vnitřní. Ale v tom forwardu máš tvojí veřejnou IP, tedy tu, co měníš v rámci DST-NAT. Koukni se na ten obrázek ...

Díky. To pravidlo mi takhle ale nejelo, musel jsem místo veřejné použít buď vnitřní IP rozhraní do sítě a nebo nastavit input interface. Pak už to jede.

Ten obrázek myslíš tento http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 ?
Nějak to v tom nevidím

No o tom jsem mluvil ... měl jsi tam: chain=forward action=drop protocol=tcp dst-address=19.14.11.11
Jenže ta DST tam už v tom paketu prostě není.

Petr S. píše:Díky. To pravidlo mi takhle ale nejelo, musel jsem místo veřejné použít buď vnitřní IP rozhraní do sítě a nebo nastavit input interface. Pak už to jede.

Ten obrázek myslíš tento http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 ?
Nějak to v tom nevidím

http://wiki.mikrotik.com/wiki/File:Pack ... m_v6_b.svg
Fakt ne? Co je v tom prerouting?
http://wiki.mikrotik.com/wiki/File:Pfd.png
Končí dstnat ...

jooo, uz to asi chápu dík.