classic.ISPforum.cz

Dobrý den,

Jak nastavit pravidlo pro následující problém :
Potřebuji přesměrovat vše z IP 192.168.100.27:80 na IP 192.168.100.28:8000 . IP jsou v jednom subnetu /24 . Jedná se o komunikaci meteostanice (.27) vůči serveru (.28) .

Předem díky.

Pavel

nelze

Přes nat a další zařízení by to ale šlo ne? Ačkoliv je to těžce nelogické a rozhodně to není routování.

NAT a stejný rozsah na obou stranách? To pochybuju, že bude fungovat. Dotaz půjde v rámci switche a na router (adresu brány) vůbec nepůjde.

Chtělo by to kontext, o co se tazatel snaží a proč. Myslím, že existuje lepší řešení ...

Meteostanice odesílá data na portu 80 a protože není konfigurovatelná, je třeba natvrdo udělat přesměrování na zařízení , které má data odchytávat. Na tomto odkaze https://obrienlabs.net/redirecting-weat ... bserverip/ je do v odstavci Method 2 popsáno. Jen to nedokáži replikovat na RouterOS . Vzhledem k tomu, že to má realizované v Iptables, tak by to mělo jít.

P.

Jenže ty nechápeš princip. Aby dokázal netfilter (tedy iptables) něco s paketem udělat, musí ho vidět. A v případě NAT a podobných zvěrstev musí vidět celou konexi, mít o ní nějaké ponětí (tedy záznam v conntrack tabulce).

Pokud je to traffic v rámci jednoho segmentu, tak není nikdy routovaný. Je to lokální provoz, který prostě "nevidí". Buď neopustí switch čip (na něm nic takového nenastavíš), nebo ho sice CPU routeru vidí, ale v bridge (což je softwarové řešení switche). V bridge sice můžeš udělat leccos, ale rozhodně ne takovouto NATku.

Ty dvě zařízení musí být na rozdílných sítích, aby to šlo.

Pokud je to tak, že meteostanice odesílá data na server v internetu na port 80 (což vyplývá z odkazovaného postupu), tak by to možná šlo:

/ip firewall nat add chain=dstnat src-address=192.168.100.27 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.100.28 to-ports=8000
/ip firewall nat add chain=srcnat src-address=192.168.100.27 dst-address=192.168.100.28 protocol=tcp dst-port=8000 action=masquerade

Ovšem je to docela prasečina a bylo by lepší hledat nějakou standardní cestu...

Vyzkouším a dám vědět.

P.

Tak to vypadá, že to zabralo. Mojí logikou jsem měl udělaná první pravidlo, ale to druhé mě nenapadlo. Proč je v tom zařazená maškaráda ?


P.

Tvojí logikou rozhodně nebylo ani to první pravidlo, protože jsi tvrdil:

Meteostanice odesílá data na portu 80

což jednoznačně není pravda.

První pravidlo říká: co má přes router projít z meteostanice na jakýkoliv webserver (:80) se přesměruje na konkrétní server v LAN (port 8000). Ovšem server v LAN tento přístup vidí z IP adresy meteostanice a na tuto adresu posílá i odpovědi => meteostanice se pokouší připojit někam, ale odpovědi chodí odjinud => nenaváže se spojení.
Pravidlo s maškarádou říká, že co jde z meteostanice přesměrované na server, změní se tomu zdrojová adresa na adresu routeru. Pro server to potom vypadá, že mu data posílá router a ne meteostanice, provoz oběma směry jde přes router a ten oběma směry zajistí změnu src/dst adresy.

Díky za vysvětlení a pomoc !

P.

rsaf píše:Tvojí logikou rozhodně nebylo ani to první pravidlo, protože jsi tvrdil:

Meteostanice odesílá data na portu 80

což jednoznačně není pravda.

První pravidlo říká: co má přes router projít z meteostanice na jakýkoliv webserver (:80) se přesměruje na konkrétní server v LAN (port 8000). Ovšem server v LAN tento přístup vidí z IP adresy meteostanice a na tuto adresu posílá i odpovědi => meteostanice se pokouší připojit někam, ale odpovědi chodí odjinud => nenaváže se spojení.
Pravidlo s maškarádou říká, že co jde z meteostanice přesměrované na server, změní se tomu zdrojová adresa na adresu routeru. Pro server to potom vypadá, že mu data posílá router a ne meteostanice, provoz oběma směry jde přes router a ten oběma směry zajistí změnu src/dst adresy.

rsaf si zaslozi pochvalu, jde nam vsem prikladem, pro tyto veci fora vznikala, pro pratelskou pomoc, nikoliv pro honeni vlastnich eg... a jinych casti nasich osobnosti...

R