Jak na dynamický NAT?

[radekpaos]

Ahoj, mám následující problém - občas se stane, že mi ISP změní IP adresu, je pořád veřejná. Mám v této situaci RB450G, v NAT nastavbené pravidlo přístupu do vnitřní sítě, např. na portu 4444. V NAT tabulce mám nastaveno, že provoz na tomto portu z příchozí IP (WAN) směřuje dovnitř lokální sítě. Jenže když mi ISP změní IP adresu, pravidlo přestane fungovat (logicky, je svázáno s jinou IP adresou). Poradí mi někdo, jak toto udělat? Díky.

[radekpaos]

Příklad, o který mi jde:

Kód: Vybrat vše

chain=dstnat in-interface=wan dst-address=veřejná_ip protocol=tcp dst-port=4444 action=dst-nat
     to-addresses=10.10.10.44 to-ports=4444


jenže veřejná IP adresa se mi jednou za čas změní:(

[hapi]

tak tam nespecifikuj cilovou IP.

[radekpaos]

no ale pak se tam nasměruje jakýkoli přenos na daný port, který na mé wan dojde, ať má jakoukoli cílovou IP, což není asi zrovna bezpečné. nebo se pletu? spíš bych si představoval nějaké dynamické převzetí adresy pro toto pravidlo.

[hapi]

ne, prvně by se měl použít překlad natu zpět na původní adresy a pak nastoupí dst-nat.

[Jardax]

Teda hapi, ty ses ale rozkecal...

[hapi]

ono to na wikině vypadalo menší

nicméně důležitý je to co ukazuje prerouting v řádku.

[radekpaos]

takže pokud to dobře chápu,t ak mangle prerouting zajistí, že pokud by cílová IP nebyla shodná s tou aktuální veřejnou, tak to do dsnt pravidla neprojde?

[hapi]

ano, ale mangle prerouting tě vůbec nezajímá. Tebe zajímá pozice connection tracking čimž se vnitřní ip adresy vrátí do paketu a tim pádem to už neni při průchodu dál IP toho routeru ale počítačů za nim. Pokud tedy to bude IP adresa přímo toho routeru, tak connection trackingem sice projde ale nezměněn a v DST natu si ho už můžeš směrovat dál kam chceš.

[radekpaos]

no ale to jsem řpece právě dělal, že dst pravidlo bylo na známou veřejnou ip adresu - asi se v tom motám.

[Walkeer]

no ale pak se tam nasměruje jakýkoli přenos na daný port, který na mé wan dojde, ať má jakoukoli cílovou IP, což není asi zrovna bezpečné. nebo se pletu? spíš bych si představoval nějaké dynamické převzetí adresy pro toto pravidlo.

Packet, ktery ma jinou cilovou IP nez tvoji, k tobe hodne pravdepodobne nedojde, leda by si nekdo ve stejnem subnetu siti providera nastavil tvoji verejnou jako GW a to za predpokladu ze to provider nema osetrene.

[ludvik]

Asi tak ... prostě tu veřejnou z pravidla vyhoď. Ty prostě chceš přesměrovat něco z venku dovnitř. Maximálně tě zajímá zdroj toho "z venku", ale už ne adresa na tvém WAN.
Pokud už chceš být paranoidní, udělej pravidlo na src-mac, to se providerovi asi moc měnit nebude.

no ale pak se tam nasměruje jakýkoli přenos na daný port, který na mé wan dojde, ať má jakoukoli cílovou IP, což není asi zrovna bezpečné. nebo se pletu? spíš bych si představoval nějaké dynamické převzetí adresy pro toto pravidlo.

Packet, ktery ma jinou cilovou IP nez tvoji, k tobe hodne pravdepodobne nedojde, leda by si nekdo ve stejnem subnetu siti providera nastavil tvoji verejnou jako GW a to za predpokladu ze to provider nema osetrene.