Stránka 1 z 1
Jak na dynamický NAT?
Napsal: 05 Jun 2012 09:20
od radekpaos
Ahoj, mám následující problém - občas se stane, že mi ISP změní IP adresu, je pořád veřejná. Mám v této situaci RB450G, v NAT nastavbené pravidlo přístupu do vnitřní sítě, např. na portu 4444. V NAT tabulce mám nastaveno, že provoz na tomto portu z příchozí IP (WAN) směřuje dovnitř lokální sítě. Jenže když mi ISP změní IP adresu, pravidlo přestane fungovat (logicky, je svázáno s jinou IP adresou). Poradí mi někdo, jak toto udělat? Díky.
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 10:48
od radekpaos
Příklad, o který mi jde:
Kód: Vybrat vše
chain=dstnat in-interface=wan dst-address=veřejná_ip protocol=tcp dst-port=4444 action=dst-nat
to-addresses=10.10.10.44 to-ports=4444
jenže veřejná IP adresa se mi jednou za čas změní:(
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 10:59
od hapi
tak tam nespecifikuj cilovou IP.
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 11:17
od radekpaos
no ale pak se tam nasměruje jakýkoli přenos na daný port, který na mé wan dojde, ať má jakoukoli cílovou IP, což není asi zrovna bezpečné. nebo se pletu? spíš bych si představoval nějaké dynamické převzetí adresy pro toto pravidlo.
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 12:13
od hapi
ne, prvně by se měl použít překlad natu zpět na původní adresy a pak nastoupí dst-nat.
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 12:33
od Jardax
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 12:35
od hapi
ono to na wikině vypadalo menší
nicméně důležitý je to co ukazuje prerouting v řádku.
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 13:02
od radekpaos
takže pokud to dobře chápu,t ak mangle prerouting zajistí, že pokud by cílová IP nebyla shodná s tou aktuální veřejnou, tak to do dsnt pravidla neprojde?
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 13:33
od hapi
ano, ale mangle prerouting tě vůbec nezajímá. Tebe zajímá pozice connection tracking čimž se vnitřní ip adresy vrátí do paketu a tim pádem to už neni při průchodu dál IP toho routeru ale počítačů za nim. Pokud tedy to bude IP adresa přímo toho routeru, tak connection trackingem sice projde ale nezměněn a v DST natu si ho už můžeš směrovat dál kam chceš.
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 15:12
od radekpaos
no ale to jsem řpece právě dělal, že dst pravidlo bylo na známou veřejnou ip adresu - asi se v tom motám.
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 15:33
od Walkeer
radekpaos píše:no ale pak se tam nasměruje jakýkoli přenos na daný port, který na mé wan dojde, ať má jakoukoli cílovou IP, což není asi zrovna bezpečné. nebo se pletu? spíš bych si představoval nějaké dynamické převzetí adresy pro toto pravidlo.
Packet, ktery ma jinou cilovou IP nez tvoji, k tobe hodne pravdepodobne nedojde, leda by si nekdo ve stejnem subnetu siti providera nastavil tvoji verejnou jako GW a to za predpokladu ze to provider nema osetrene.
Re: Jak na dynamický NAT?
Napsal: 05 Jun 2012 23:10
od ludvik
Asi tak ... prostě tu veřejnou z pravidla vyhoď. Ty prostě chceš přesměrovat něco z venku dovnitř. Maximálně tě zajímá zdroj toho "z venku", ale už ne adresa na tvém WAN.
Pokud už chceš být paranoidní, udělej pravidlo na src-mac, to se providerovi asi moc měnit nebude.
Walkeer píše:radekpaos píše:no ale pak se tam nasměruje jakýkoli přenos na daný port, který na mé wan dojde, ať má jakoukoli cílovou IP, což není asi zrovna bezpečné. nebo se pletu? spíš bych si představoval nějaké dynamické převzetí adresy pro toto pravidlo.
Packet, ktery ma jinou cilovou IP nez tvoji, k tobe hodne pravdepodobne nedojde, leda by si nekdo ve stejnem subnetu siti providera nastavil tvoji verejnou jako GW a to za predpokladu ze to provider nema osetrene.
