Stránka 1 z 1
V: DST-NAT až po projití firewallu (MIKROTIK)
Napsal: 21 Apr 2018 20:39
od puchnar
Zdravím mám rychlý dotaz, dá se v mikrotiku nastavit když příchozí připojení (type input) směruju pomocí dst-nat na interní ip, aby se dst-nat provedl až po projití firewallu?
Ve firewallu mám"drop input ether1" nicméně příchozí provoz se stejně směruje. Dá se tedy nějak nastavit aby DST-NAT proběhl až po zkontrolování firewallu? Díky
Re: DST-NAT až po projití firewallu (MIKROTIK)
Napsal: 21 Apr 2018 20:45
od rsaf
PREROUTING ve kterém probíhá NAT je před INPUT/FORWARD. INPUT jsou data, která končí přímo na routeru. Pokud uděláš DST-NAT na nějakou LAN IP, tak ta data nekončí na routeru a tudíž nejdou přes INPUT. Pokud taková spojení potřebuješ omezovat, udělej to ve FORWARD, příp. udělej selektivní už to DST-NAT pravidlo.
Re: DST-NAT až po projití firewallu (MIKROTIK)
Napsal: 21 Apr 2018 20:47
od puchnar
rsaf píše:PREROUTING ve kterém probíhá NAT je před INPUT/FORWARD. INPUT jsou data, která končí přímo na routeru. Pokud uděláš DST-NAT na nějakou LAN IP, tak ta data nekončí na routeru a tudíž nejdou přes INPUT. Pokud taková spojení potřebuješ omezovat, udělej to ve FORWARD, příp. udělej selektivní už to DST-NAT pravidlo.
Děkuji za odpověď to znamená že by to mnělo jít omezit chainem forward? tzn kontrolovat provoz na tu cílovou IP toho dst-natu?
Re: DST-NAT až po projití firewallu (MIKROTIK)
Napsal: 21 Apr 2018 20:52
od Dacesilian
Ano. Tohle je dobrý obrázek -
http://www.cs.vsb.cz/grygarek/TPS-0304/ ... rewall.gif .
Nejprve se přepíše cílová adresa podle DST-NAT a potom router řeší, zda to je pro něj (aplikuje INPUT) nebo pro někoho jiného (aplikuje FORWARD). V tom už se pak používá jako destination IP ta cílová adresa (co nahradila původní).
Re: DST-NAT až po projití firewallu (MIKROTIK)
Napsal: 21 Apr 2018 20:56
od puchnar
Pánové děkuji za informace
Vyřešeno