Dobrý den,
prosim o radu. Potrebuji provest routovani IPv4 na zaklade ciloveho portu packetu a zaroven zmenit cilovy port.
Kazdou operaci zvlast zvladam, ale ja to potrebuji dohromady (nebo po sobe) a to se mi nedari.
Routa podle portu:
ip firewall mangling
add action=route chain=prerouting dst-address=IP-A dst-port=44302 passthrough=yes protocol=tcp route-dst=IP-B
Ale co s tim cilovym portem? Potrebuji cilovy port 443. Dal uz mi to do DST-NATu nejde.
Zmena portu je DST-NAT action=redirect. Ten se ale neprovede, protoze packet byl odroutovany manglingem v preroutingu.
Nebo treba na to jdu uplne spatne. Prosim o radu.
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
routovani podle portu + zmena portu
Asi úplně nerozumím, ale proč to neděláš v NAT, ale v Mangle?
To je úloha pro dst-nat. Tam lze definovat jak cílovou IP adresu, tak i port.
To je úloha pro dst-nat. Tam lze definovat jak cílovou IP adresu, tak i port.
0 x
mirek.k píše:Asi úplně nerozumím, ale proč to neděláš v NAT, ale v Mangle?
To je úloha pro dst-nat. Tam lze definovat jak cílovou IP adresu, tak i port.
No je to proto, ze ja potrebuji ROUTOVAT podle PORTu a hlavne pritom ZMENIT cilovy port.
Potiz je v tom, ze stejna cilova adresa, musi projit jinou siti v zavislosti na puvodnim cilovem portu.
0 x
dan72 píše:mirek.k píše:Asi úplně nerozumím, ale proč to neděláš v NAT, ale v Mangle?
To je úloha pro dst-nat. Tam lze definovat jak cílovou IP adresu, tak i port.
No je to proto, ze ja potrebuji ROUTOVAT podle PORTu a hlavne pritom ZMENIT cilovy port.
Potiz je v tom, ze stejna cilova adresa, musi projit jinou siti v zavislosti na puvodnim cilovem portu.
No vždyť jo. Nastavíš pravidlo, že pokud přijde packet na IP a port, pošleš ho na jinou IP a port.
0 x
mirek.k píše:dan72 píše:mirek.k píše:Asi úplně nerozumím, ale proč to neděláš v NAT, ale v Mangle?
To je úloha pro dst-nat. Tam lze definovat jak cílovou IP adresu, tak i port.
No je to proto, ze ja potrebuji ROUTOVAT podle PORTu a hlavne pritom ZMENIT cilovy port.
Potiz je v tom, ze stejna cilova adresa, musi projit jinou siti v zavislosti na puvodnim cilovem portu.
No vždyť jo. Nastavíš pravidlo, že pokud přijde packet na IP a port, pošleš ho na jinou IP a port.
No to je prave ta chyba. Ja ho nemuzu poslat na jinou IP. Ja ho musim SMEROVAT jinou branou. Cilova IP musi zustat stejna.
0 x
To je dost zásadní informace, která nebyla zřejmá z prvotního popisu. Tady neporadím.
0 x
tak si to rozdeľme na drobné či som to správne pochopil:
- máš komunikáciu z IP alebo siete ktorá smeruje na známu IP(1.2.3.4) a port 44302 a ty chceš aby smerovala na tú istú známu IP (1.2.3.4) port 443 ALE iným výstupným interface ako je tvoja default gateway? A má sa touto cestou vydať len táto komunikácia alebo všetko čo bude smerovať na 1.2.3.4-?
- máš komunikáciu z IP alebo siete ktorá smeruje na známu IP(1.2.3.4) a port 44302 a ty chceš aby smerovala na tú istú známu IP (1.2.3.4) port 443 ALE iným výstupným interface ako je tvoja default gateway? A má sa touto cestou vydať len táto komunikácia alebo všetko čo bude smerovať na 1.2.3.4-?
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Líp popis tu situaci, nedá z toho pochopit co chceš. Ideálně na příkladu.
0 x
Noxus28 píše:tak si to rozdeľme na drobné či som to správne pochopil:
- máš komunikáciu z IP alebo siete ktorá smeruje na známu IP(1.2.3.4) a port 44302 a ty chceš aby smerovala na tú istú známu IP (1.2.3.4) port 443 ALE iným výstupným interface ako je tvoja default gateway? A má sa touto cestou vydať len táto komunikácia alebo všetko čo bude smerovať na 1.2.3.4-?
Podrobnejsi popis:
Windows stroj se ma na HTTPS dotazovat ruznych serveru, ktere jsou na routovanych vzdalenych lokalnich sitich (172.16.45.0/24). Sluzba ma vzdy stejnou IP adresu coz neovlivnim (1.1.1.149). Protoze cela trasa ma by transparentni a protoze si cilovy server kontroluje, jak je sluzba volana a rozhodl jsem se posilat pakety do prislusnych siti podle cisla ciloveho portu (lepsi reseni mne nenapada). Tedy server vola cilovou adresu a TCP portem urcuje kde se ten cilovy server nachazi. Cilova adresa je routovana na koncentrator, ktery podle portu posle dotaz do spravne site.
Dnes v noci mne napadlo takove trochu zoufale reseni.
Nastaveni na koncetratoru:
- proste to prelozim do transportni sítě na spravnem portu
Kód: Vybrat vše
/ip firewall nat
add action=dst-nat chain=dstnat comment="lokalita 02" \
dst-address=1.1.1.149 dst-port=44302 in-interface=ether1-uplink \
protocol=tcp to-addresses=172.16.45.2 to-ports=443
[code]
Nastaveni na klientovi:
- DST-NATem to prelozim na spravnou cilovou adresu
- a SRC-NATem zajistim aby to melo spravnou zdrojovu adresu
[/code]
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=443 in-interface=sstp-office protocol=tcp \
to-addresses=1.1.1.149 to-ports=443
add action=src-nat chain=srcnat dst-address=1.1.1.149 dst-port=443 \
out-interface=ether3-endpoint protocol=tcp to-addresses=10.10.10.148
/ip route
add distance=1 dst-address=10.10.10.128/25 gateway=ether3-endpoint
Je to sice funkcni, ale zda se mi to zbytecne slozite. Dvoji, resp. troji preklad NATem asi neni uplne idealni.
Napada Vas neco lepsiho?
0 x
No veľmi inak ako 2x DST-nat to asi nepôjde. SRC-nat je dosť otázny, pokiaľ sú vzdialené lokality routované a majú routu aj na win server prečo ho potrebuješ? Jedine ak sa ti to cestou niekde už srcnatlo čo by bolo lepšie vyriešiť výnimkou ako to znovu natovať na konci
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo