V: DST-NAT až po projití firewallu (MIKROTIK)

[puchnar]

Zdravím mám rychlý dotaz, dá se v mikrotiku nastavit když příchozí připojení (type input) směruju pomocí dst-nat na interní ip, aby se dst-nat provedl až po projití firewallu?
Ve firewallu mám"drop input ether1" nicméně příchozí provoz se stejně směruje. Dá se tedy nějak nastavit aby DST-NAT proběhl až po zkontrolování firewallu? Díky

[rsaf]

PREROUTING ve kterém probíhá NAT je před INPUT/FORWARD. INPUT jsou data, která končí přímo na routeru. Pokud uděláš DST-NAT na nějakou LAN IP, tak ta data nekončí na routeru a tudíž nejdou přes INPUT. Pokud taková spojení potřebuješ omezovat, udělej to ve FORWARD, příp. udělej selektivní už to DST-NAT pravidlo.

[puchnar]

PREROUTING ve kterém probíhá NAT je před INPUT/FORWARD. INPUT jsou data, která končí přímo na routeru. Pokud uděláš DST-NAT na nějakou LAN IP, tak ta data nekončí na routeru a tudíž nejdou přes INPUT. Pokud taková spojení potřebuješ omezovat, udělej to ve FORWARD, příp. udělej selektivní už to DST-NAT pravidlo.

Děkuji za odpověď to znamená že by to mnělo jít omezit chainem forward? tzn kontrolovat provoz na tu cílovou IP toho dst-natu?

[Dacesilian]

Ano. Tohle je dobrý obrázek - http://www.cs.vsb.cz/grygarek/TPS-0304/ ... rewall.gif .
Nejprve se přepíše cílová adresa podle DST-NAT a potom router řeší, zda to je pro něj (aplikuje INPUT) nebo pro někoho jiného (aplikuje FORWARD). V tom už se pak používá jako destination IP ta cílová adresa (co nahradila původní).

[puchnar]

Pánové děkuji za informace Vyřešeno