classic.ISPforum.cz

Ahojte,
mam nasledujucu modelovu situaciu:
RB750
1.port ... Internet
2.port ... switch (lokalna siet) (192.168.1.1/24)
3.port ... server (192.168.2.1/24)

Da sa povedat, ze na ten server sa bude chodit len pomocou Remote Desktop. Ten server je akoze demo pre zakaznika na ktory sa bude hlasit cez nejaky otvoreny port na 1.porte. Preto chcem, aby som sa vedel z lokalnej siete dostat na ten server, ale aby zakaznik nemohol zasa vidiet nasu siet.
Uz som to skusal, ale bud mi chodili oba smery alebo oba smery nechodili. Aj DST NAT som skusal, ale nic sa mi nedario. Vrela vdaka za kazdu odpoved.

Obecne se to dela firewallem, ale u tebe bude stacit kdyz nastavis DST-NAT na portu 1 tak ,aby nejaky rozsah portu byl preposilan na IP serveru na portu 3 a je to. Urcite bych na portu 1 nastavil stavovy firewall, tedy forward a input povolen na vstupu jen pro related a established, pak sazmorejme povolit ten pristup z venu na server a ostatni zahazovat,

Mozes prosim ta troska konkretnejsie? prip. nejaku ukazku. vdaka

precti si nejdrive nejaky zakladni howto o firewallech a NAT, at vis, o cem se bavime, pak to muzeme resit dale:
http://www.root.cz/clanky/konfigurace-f ... mikrotiku/

Mam precitane, aj som skusal dalej, ale stale sa nedari....

Cestou natu by som nesiel kvoli vykonu .. bud stavovy firewall alebo pripadne by sa to mohlo dat vyriesit cez PBR.

Aha citam ze zakaznik ma pristupovat z netu a nema sa dostat do vasej siete.

1.) potrebujes dst-nat z WAN -> Server co predpokladam ze mas.
2.) stavovy fw ..

Nieco ako

## Povolit RDESK -> LAN pokial su sucastou nejakeho spojenia predtym vytvoreneho
add action=accept chain=forward disabled=no connection-state=related in-interface=ether3 out-interface=ether2
add action=accept chain=forward disabled=no connection-state=established in-interface=ether3 out-interface=ether2

## Zahodime ostatny traffic
add action=drop chain=forward disabled=no in-interface=ether3 out-interface=ether2

L.