Dobrý den,
Jak nastavit pravidlo pro následující problém :
Potřebuji přesměrovat vše z IP 192.168.100.27:80 na IP 192.168.100.28:8000 . IP jsou v jednom subnetu /24 . Jedná se o komunikaci meteostanice (.27) vůči serveru (.28) .
Předem díky.
Pavel
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Routování
Routování
0 x
nelze
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Přes nat a další zařízení by to ale šlo ne? Ačkoliv je to těžce nelogické a rozhodně to není routování.
0 x
NAT a stejný rozsah na obou stranách? To pochybuju, že bude fungovat. Dotaz půjde v rámci switche a na router (adresu brány) vůbec nepůjde.
Chtělo by to kontext, o co se tazatel snaží a proč. Myslím, že existuje lepší řešení ...
Chtělo by to kontext, o co se tazatel snaží a proč. Myslím, že existuje lepší řešení ...
0 x
Meteostanice odesílá data na portu 80 a protože není konfigurovatelná, je třeba natvrdo udělat přesměrování na zařízení , které má data odchytávat. Na tomto odkaze https://obrienlabs.net/redirecting-weat ... bserverip/ je do v odstavci Method 2 popsáno. Jen to nedokáži replikovat na RouterOS . Vzhledem k tomu, že to má realizované v Iptables, tak by to mělo jít.
P.
P.
0 x
Jenže ty nechápeš princip. Aby dokázal netfilter (tedy iptables) něco s paketem udělat, musí ho vidět. A v případě NAT a podobných zvěrstev musí vidět celou konexi, mít o ní nějaké ponětí (tedy záznam v conntrack tabulce).
Pokud je to traffic v rámci jednoho segmentu, tak není nikdy routovaný. Je to lokální provoz, který prostě "nevidí". Buď neopustí switch čip (na něm nic takového nenastavíš), nebo ho sice CPU routeru vidí, ale v bridge (což je softwarové řešení switche). V bridge sice můžeš udělat leccos, ale rozhodně ne takovouto NATku.
Ty dvě zařízení musí být na rozdílných sítích, aby to šlo.
Pokud je to traffic v rámci jednoho segmentu, tak není nikdy routovaný. Je to lokální provoz, který prostě "nevidí". Buď neopustí switch čip (na něm nic takového nenastavíš), nebo ho sice CPU routeru vidí, ale v bridge (což je softwarové řešení switche). V bridge sice můžeš udělat leccos, ale rozhodně ne takovouto NATku.
Ty dvě zařízení musí být na rozdílných sítích, aby to šlo.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Pokud je to tak, že meteostanice odesílá data na server v internetu na port 80 (což vyplývá z odkazovaného postupu), tak by to možná šlo:
/ip firewall nat add chain=dstnat src-address=192.168.100.27 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.100.28 to-ports=8000
/ip firewall nat add chain=srcnat src-address=192.168.100.27 dst-address=192.168.100.28 protocol=tcp dst-port=8000 action=masquerade
Ovšem je to docela prasečina a bylo by lepší hledat nějakou standardní cestu...
/ip firewall nat add chain=dstnat src-address=192.168.100.27 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.100.28 to-ports=8000
/ip firewall nat add chain=srcnat src-address=192.168.100.27 dst-address=192.168.100.28 protocol=tcp dst-port=8000 action=masquerade
Ovšem je to docela prasečina a bylo by lepší hledat nějakou standardní cestu...
0 x
Tak to vypadá, že to zabralo. Mojí logikou jsem měl udělaná první pravidlo, ale to druhé mě nenapadlo. Proč je v tom zařazená maškaráda ?
P.
P.
0 x
Tvojí logikou rozhodně nebylo ani to první pravidlo, protože jsi tvrdil:
První pravidlo říká: co má přes router projít z meteostanice na jakýkoliv webserver (:80) se přesměruje na konkrétní server v LAN (port 8000). Ovšem server v LAN tento přístup vidí z IP adresy meteostanice a na tuto adresu posílá i odpovědi => meteostanice se pokouší připojit někam, ale odpovědi chodí odjinud => nenaváže se spojení.
Pravidlo s maškarádou říká, že co jde z meteostanice přesměrované na server, změní se tomu zdrojová adresa na adresu routeru. Pro server to potom vypadá, že mu data posílá router a ne meteostanice, provoz oběma směry jde přes router a ten oběma směry zajistí změnu src/dst adresy.
což jednoznačně není pravda.Meteostanice odesílá data na portu 80
První pravidlo říká: co má přes router projít z meteostanice na jakýkoliv webserver (:80) se přesměruje na konkrétní server v LAN (port 8000). Ovšem server v LAN tento přístup vidí z IP adresy meteostanice a na tuto adresu posílá i odpovědi => meteostanice se pokouší připojit někam, ale odpovědi chodí odjinud => nenaváže se spojení.
Pravidlo s maškarádou říká, že co jde z meteostanice přesměrované na server, změní se tomu zdrojová adresa na adresu routeru. Pro server to potom vypadá, že mu data posílá router a ne meteostanice, provoz oběma směry jde přes router a ten oběma směry zajistí změnu src/dst adresy.
1 x
rsaf píše:Tvojí logikou rozhodně nebylo ani to první pravidlo, protože jsi tvrdil:což jednoznačně není pravda.Meteostanice odesílá data na portu 80
První pravidlo říká: co má přes router projít z meteostanice na jakýkoliv webserver (:80) se přesměruje na konkrétní server v LAN (port 8000). Ovšem server v LAN tento přístup vidí z IP adresy meteostanice a na tuto adresu posílá i odpovědi => meteostanice se pokouší připojit někam, ale odpovědi chodí odjinud => nenaváže se spojení.
Pravidlo s maškarádou říká, že co jde z meteostanice přesměrované na server, změní se tomu zdrojová adresa na adresu routeru. Pro server to potom vypadá, že mu data posílá router a ne meteostanice, provoz oběma směry jde přes router a ten oběma směry zajistí změnu src/dst adresy.
rsaf si zaslozi pochvalu, jde nam vsem prikladem, pro tyto veci fora vznikala, pro pratelskou pomoc, nikoliv pro honeni vlastnich eg... a jinych casti nasich osobnosti...
R
2 x