Firewall

[fala]

Zdravím,
potřeboval bych poradit jak na přesměrování portů na server.
Na adrese 192.168.0.103 mám server s pevnou IP adresou na kterém mi běží IIS a pošta a pod. Proto bych sem chtěl směrovat porty 80, 110, 25 apod. Udělal jsem dstnat na local-bridge na 192.168.0.103. tohle se zdá, že funguje, ale když z klientského počítače zadám v prohlížeči www.seznam.cz, tak se to přesměruje na můj server 192.168.0.103 a končím. Mohl bych to celé hodit na Ether1, ale chtěl bych to mít dostupné i v lokální síti

Můžete mi prosím vysvětlit, jak to správně filtrovat?
Díky

[Petr S.]

dej si tam do pravidel ještě že ten požadavek musí přijít s cílovou adresou na tvoji veřejku...

[fala]

aha, já si s tím lámu hlavu a taková prkotina. Dík

[fala]

tak ten problém je větší než jsem myslel. Když tam dám omezení, že to musí přijít z venku, tak z venku to funguje, ale z mojí sítě nikoliv.

[Mazzalo]

Ahoj, dej sem výpis konfigurace...

[Petr S.]

No jasně. Zvenku to jde protože se uplatní pravidlo. Z vnitřní sítě to nejde, protože odchozí packety sice jdou na tvoji veřejku a nat se provede, ale odpověď jde zpět přes místní síť (už se nevrací zpět přes router). Jsou dvě možnosti. Buď se na to vykvákneš a z vnitřní sítě budeš na server chodit přes vnitřní adresu, a nebo musíš udělat Harpin NAT.

http://wiki.mikrotik.com/wiki/Hairpin_NAT

[fala]

ok, tak jsem to udělal tak, že dstnat jde pouze z veřejné adresy na můj server a vše zevnitř ženu ven, ať se to vrátí. tohle funguje, když je tam maškaráda z local-bridge. bohužel, maškaráda mi přeloží IP adresu na 192.168.0.1, což mi sakra vadí na poštovním serveru.

Kód: Vybrat vše

/ip firewall filter
add chain=input comment=ping protocol=icmp
add chain=input comment="p\F8\EDstup z internetu" dst-port=\
    80,443,25,110,8080-8099,8291 protocol=tcp
add chain=output protocol=tcp
add chain=output connection-state=established,related
add chain=input comment=telefon protocol=udp
add chain=forward disabled=yes protocol=udp
add chain=output protocol=udp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=85.92.63.94 dst-port=\
    80,443,25,110,8080-8099 protocol=tcp to-addresses=192.168.0.103
add action=masquerade chain=srcnat out-interface=ether1-gateway protocol=tcp
add action=masquerade chain=srcnat out-interface=bridge-local protocol=tcp


[Mazzalo]

V čem ti to vadí? Pokud máš od poskytovatele správně nastavený reverzní DNS záznam, tak žádný problém nevidím.


Sent from my iPad using Tapatalk

[fala]

V čem ti to vadí? Pokud máš od poskytovatele správně nastavený reverzní DNS záznam, tak žádný problém nevidím.

na mail serveru je nastaveno, že máš 3 pokusy na přihlášení z jedné IP, jinak tě na 30 min. odstaví. tzn. hacker se tam sice nedostane, ale na 30 min taky nikdo jiný bo to IP je 192.168.0.1

[schrotterp]

tak si tam nastav pouze src address ne vsetko