classic.ISPforum.cz

Cauves,hledal sem tu a nasel sem par skriptu a pravidel na toto tema,ale nic mi nefungovalo... Nastinim situaci, subnet 192.168.2.xx... webserver 192.168.2.20..
Potreboval bych presmerovat vsechny neplatice na port 80 kde je stranka o nezaplaceni sluzeb... Muzete nekdo prosim poradit??
Diky lukas

tento prikaz si vloz do konzoly, namiesto 192.168.3.1 daj ip kde mas umiestneny web ktory chces zobrazit..:
/ ip firewall nat
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp src-address-list=ban action=dst-nat to-addresses=192.168.3.1 to-ports=80 comment="" \
disabled=no

Potom uz len pridavat IP do adress listu ktore chcel presmerovat pod nazvom ban:

/ ip firewall address-list
add list=ban address=192.168.3.100 comment="" disabled=no

Cauko,diky za radu,ale neslape to... Internet odstavi,to je pravda,ale zadny FW se nekona... xixi...

caveman6 píše:tento prikaz si vloz do konzoly, namiesto 192.168.3.1 daj ip kde mas umiestneny web ktory chces zobrazit..:
/ ip firewall nat
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp src-address-list=ban action=dst-nat to-addresses=192.168.3.1 to-ports=80 comment="" \
disabled=no

Potom uz len pridavat IP do adress listu ktore chcel presmerovat pod nazvom ban:

/ ip firewall address-list
add list=ban address=192.168.3.100 comment="" disabled=no

ale šlape, jenom to nešlape ze stejnýho subnetu jako je web server.

Jasne,tak to verim... Proto by sem potreboval neco,co slape ve stejnym subnetu... Pokud to jde ....

hapi píše:ale šlape, jenom to nešlape ze stejnýho subnetu jako je web server.

zapni mozek, vem si tužku a papír a nakresli si jak paket putuje a bude ti to jasný. Zapnout mozek je dost podstatný. No a pak taky třeba to, že jsem to tu už asi 3x někde popisoval proč to nefunguje. Tedy ono to funguje, jenom to naráží na jednu ochranu kterou komunikace v ptc/ip má.

Jasne,uz sem hledal,ale je toho tu hodne... Tak pekne prosim,dalo by se to napsat jeste jednou? Dekuju mockrat....

hapi píše:zapni mozek, vem si tužku a papír a nakresli si jak paket putuje a bude ti to jasný. Zapnout mozek je dost podstatný. No a pak taky třeba to, že jsem to tu už asi 3x někde popisoval proč to nefunguje. Tedy ono to funguje, jenom to naráží na jednu ochranu kterou komunikace v ptc/ip má.

vem si že seš ve stejnym subnetu jako ten server. Ty pošleš paket ven do netu, dst-nat přesměruje neplatiče, paket dorazí na web server, web server ho pošle zpět neplatiči, jenomže přímou cestou podle zdrojový adresy v paketu což je přímo neplatiči a neplatičův počítač to odmítne protože ten paket neposílal webserveru ale ven do netu. Tedy zdrojová adresa odpovídajícího paketu je jiná než na kterou neplatič chtěl. Takže vznikde takovej trojúhelník kterej nefunguje. Jediný co musíš udělat je to, že dopíšeš pravidlo se src-natem aby paket z routeru kterej přesměrovává přepsal ten paket jako že pochází od něj. Pak se totiž vrátí stejnou cestou v pořádku i ve stejnym subnetu. Čily dopiš src-nat jako že pokud paket pochází od neplatiče a míří na webserver, tak se src-nat použije a jako zdrojová ip se změní na ip routeru.

Prosté

Si hodny,ze mi toto vysvetlujes,ale marne,nejsem zase tak zbehly,aby sem toto resil sam,to by sem nemusel psat sem... proto te poprosim o konkretni script s kterym by to behalo..... Subnet je 192.168.2.0/24 a web server je 192.168.2.20
Jinak este stoji za zminku,ze mam ospf.... Diky

hapi píše:vem si že seš ve stejnym subnetu jako ten server. Ty pošleš paket ven do netu, dst-nat přesměruje neplatiče, paket dorazí na web server, web server ho pošle zpět neplatiči, jenomže přímou cestou podle zdrojový adresy v paketu což je přímo neplatiči a neplatičův počítač to odmítne protože ten paket neposílal webserveru ale ven do netu. Tedy zdrojová adresa odpovídajícího paketu je jiná než na kterou neplatič chtěl. Takže vznikde takovej trojúhelník kterej nefunguje. Jediný co musíš udělat je to, že dopíšeš pravidlo se src-natem aby paket z routeru kterej přesměrovává přepsal ten paket jako že pochází od něj. Pak se totiž vrátí stejnou cestou v pořádku i ve stejnym subnetu. Čily dopiš src-nat jako že pokud paket pochází od neplatiče a míří na webserver, tak se src-nat použije a jako zdrojová ip se změní na ip routeru.

Prosté

A já to mám vyřešené tak,že sem webserveru promapoval port na veřejku a směruju neplatiče dsnatem na tu veřejku.

Hapiho řešení se mi teda líbí víc a je hlavně mnohem jednodušší.