classic.ISPforum.cz

Dobrý den,
mnohokrát se to tu už řešilo
Přesměrování neplatičů, náhodná reklama atd...
Prošel jsem snad vsechny odkazy na tomto fóru ale odpověd jsem nenašel.
Takže problém:
Sít je routována na OSPF.
hlavni server 10.31.22.1/24
web server: 10.31.22.2/24 - ( Apache )

Při přesměrování blokovaných ip adres ( Autorizuj)=adress list
přesmeruju na 10.31.22.2 (web server)
data a packety se počítají, ale na blokovaném pc to napíše stránku nelze zobrazit, chyba spojení nebo něco takového)---- pokud dám web server na veřejnou ip adresu tak to funguje
Toto nefunguje
chain=dstnat action=dst-nat to-addresses=10.31.22.2 to-ports=80
protocol=tcp src-address-list=AUTORIZUJ dst-port=80

Toto funguje
chain=dstnat action=dst-nat to-addresses=VEREJNA_IP to-ports=80
protocol=tcp src-address-list=AUTORIZUJ dst-port=80


TOTO taky nefunguje

chain=dstnat action=dst-nat to-addresses=10.31.22.2 to-ports=80
protocol=tcp src-address-list=AUTORIZUJ dst-port=80

chain=srcnat action=src-nat to-addresses=10.31.22.2 to-ports=0-65535
protocol=tcp src-address-list=AUTORIZUJ dst-port=80

ze vsech počítačů které chci z nějakého důvodu přesměrovávat se dostanu bez problému na web server ( i na stránku kterou chci zobrazit)
pravidlo v Natu mám jako 0; nebo jako 0 a 1pravidlo

Někdo radil, že by mělo byt vypnuto IP service WWW - což mám, ale nemá to na to vliv.(je to jenom uvodni stranka Mikrotika na serveru)

----> potřebuju aby přesměrování chodilo v lokalni sítí z důvodu scriptu na zobrazované stránce.( ucastnikovi se ukaze jeho ip kterou dostal přidelenou(lokalni) pokud dam web server na veřejnou ip adresu ukáže se mu ip adresa pod kterou vystupuje sít do internetu.


Děkuji za komentáře a vysvětlení mé nevědomosti.

Já se s tím hraju už poměrně dlouho, ale nefunguje mi to u některých klientů a u jiných v pohodě. Pravda je, že venkovní ip sem si na ten web server dát nezkoušel, takže pokud to bude fungovat s venkovní ip bude to super

Kdysi jsem to resil take problem byl v tom ze IP web serveru nesmelo byt ve stejnem rozsahu NATU a na stejnem rozhrani. Pokud das jinej rozsah web serveru na stejne rozhrani (a bude natovan) tak to take fungovat nebude).Nekdo mi jeste radil ale neodzouseno at pri srcnatu: pr:

srcaddres 192.168.0.1/24
dst adress !192.168.0.1/24
action maškarada
pak by to melo pry take fungovat

Ja to mam takhle:

eth1=wan ip:nezalezi
eth2=LAN ip: 192.168.1.1/24
eth3=firma ip: 10.0.0.1/24
IP web serveru: 10.0.0.222

srcnat1 srcaddress 192.168.1.0/24 action maškarada
srcnat2 srcaddress 10.0.0.1/24 action maskarada
dstnat = addresslisténeplatici dst port=80 action dstnat 10.0.0.222 port 80

- funfovalo i na stejnem rozhrani ale pak web server musel mit rozsah krerej nebyl natovan.

mě to ale nefunguje ani pokud je web server na jiném rozhraní a nikde nemám ani maškarádu, prostě po lokále v čistě routované síti. Respektive funguje to jak na kterého klienta...

Nekde prece mas ten rozsah 10.31.22.xxx natovanej. Protoze to 10.31.22.2 je taky a na stejnym rozhrani na serveru tak ti to nefacha.

Nikde v síti nemám MAŠKARÁDU. je to čistě routovaný ( pomocí OSPF)
wan od lan mam udělany takto:

chain=srcnat action=src-nat to-addresses=NEJAKA IP out-interface=WAN

ale urcite to na to nemá vliv... je to jenom prideleni verejny ip síti. - bytek je jen čistě vnitrní ip

Myslím že kdyz to hodím na jiný segment síte treba 10.31.36.2/24 tak to taky nepomůže... protoze ja se ze vsech pc na ten web server dostanu i ho pingnu, adt..

myslím že je problém v OSPF protože známejm to přes klasicky ručne routovanou sít funguje... ( zadny ospf, nebo neco jiného)
uz se s tím peru pěkně dlouho... sem si myslel že by bylo i jiny řešení ale zatim nevim nevim...
kdyby mikrotik zvladal scripty napsany v php jako na web serveru tak by byl asi problem vyresenej.... asi !


Pokud někdo umíte dobře anglicky napište na podporu Mikrotika )

mne to funguje bez problemu..at to prekladam na port 80 nebo jiny.

/ip firewall nat
add action=dst-nat chain=dstnat comment=NEPLATICI disabled=no dst-port=80 protocol=tcp src-address-list=NEPLATICI to-addresses=192.168.254.5 to-ports=185


a je to uplne jedno na jakem rozhrani to mas. Preci pokud tam nejaky pozadavek prijde od adresy, ktera patri do adress listu NEPLATICI, tak jeji pozadavek preloz na adresu x.x.x.x a port 185
na te adrese mas spusteny nejaky web.server na tomhle portu ..a je to.

Vidíš, je to tak jednoduché a někdy to prostě nefunguje :) U některého klienta je přesměřování v pohodě a u jiného se místo toho napíše stránka nenalezena a šlus...

CANOPA píše:/ip firewall nat
add action=dst-nat chain=dstnat comment=NEPLATICI disabled=no dst-port=80 protocol=tcp src-address-list=NEPLATICI to-addresses=192.168.254.5 to-ports=185


a je to uplne jedno na jakem rozhrani to mas. Preci pokud tam nejaky pozadavek prijde od adresy, ktera patri do adress listu NEPLATICI, tak jeji pozadavek preloz na adresu x.x.x.x a port 185
na te adrese mas spusteny nejaky web.server na tomhle portu ..a je to.

Jo ale tohle ti nefunguje, pokud mas ten webserver ve stejne casti site, tedy na stejnem rozhrani jak je klient v addresslistu neplatici

tak to namapuj na verejnou IP kterou dalsi router natuje zpatky na vnitrni.
Resp. ja toto pravidlou mam na routeru(ktery pouze routuje) a prekladam to na 212.80.x.2, port 185
Dalsi router v ceste je NAT server ...a ten verejnou IP natuje zpatky, takze ve finale je ta IP na stejnem rozhrani, ale je to verejna.
Pokud Vam to nefunguje, rozjed si ve virtualu openwrt a tam apache a je hotovo.

CANOPA píše:tak to namapuj na verejnou IP kterou dalsi router natuje zpatky na vnitrni.
Resp. ja toto pravidlou mam na routeru(ktery pouze routuje) a prekladam to na 212.80.x.2, port 185
Dalsi router v ceste je NAT server ...a ten verejnou IP natuje zpatky, takze ve finale je ta IP na stejnem rozhrani, ale je to verejna.
Pokud Vam to nefunguje, rozjed si ve virtualu openwrt a tam apache a je hotovo.

Me to funguje, ja jenom pisi, ze toto pravidlo samo o sobe nefunguje, pokud je server na stejnem rozhrani jako klient

Leeonek píše:Vidíš, je to tak jednoduché a někdy to prostě nefunguje U některého klienta je přesměřování v pohodě a u jiného se místo toho napíše stránka nenalezena a šlus...

Traceroute priamo na server je cez mašinu, kde robíš dstnat?
No ja čo presmerujem, to mi maká. V podstate každým mesiacom mi k prvému u neplatičov vyskočí luxusná stránka, kde darebák vidí obrovským fontom presnú dlžnú sumu a nič iné okrem https mu nejde A funguje mi to opravdu dlho. Je pravda, že prasárnu typu privátna IP na server a preklad na verejnú si u serverov nedovolím (komplikácie u dns, apache apod...). Mám routu na naše servere z centrálneho routra.
Chlapy, to makať musí!

Ani https im nepúšťaj celé ! Ja som mojim neplatičom povolil iba banky. Prvá upomienka systém pošle SMS , pri druhej už mikrotik každých 5 min podsunie stránku s oznamom o dlžnej sume a po tretej upomienke sa permanentne zobrazuje informácia o dlžnej sume a jediné čo z internetu môžu je prístup do banky . A všetko mi robí automatika jediné čo musím spraviť raz za mesiac naimportovať banku a poštu.

skrebon píše:Je pravda, že prasárnu typu privátna IP na server a preklad na verejnú si u serverov nedovolím (komplikácie u dns, apache apod...).

No já mám u toho serveru jen vnitřní ip, žádný nat na ni prováděný není. Zkusil jsem to přímo s tou veřejnou ip a kupodivu to opravdu začalo fungovat, takže to nechám tak a prdím na to :)

Vďaka za inšpiráciu :)