RB2011iLS pronatování portu,firewall.

[David2006]

Mám dané RB a rád bych jej použil k tomu aby dělal DHCP a DNS na portu Eth3 s tím že by přiřazoval třeba rozssah 192.168.0.20-200 a zároveň na IP 192.168.0.10 by přesměroval z Eth2 veřejné IP třeba port 500 na 192.168.0.10:8088 portu Eth3 . Protože tedy na portu Eth2 poběží veřejka co je dobré dát do firewallu za pravidla?

[ludvik]

http://wiki.mikrotik.com/wiki/Forwardin ... nternal_IP

[David2006]

Díky, přidalo mi to pravidlo do firewallu. Do IP Adress jsem si na Eth3 přidal 192.168.0.1/24 a Eth2 77.77.77.18/29 . Pak jsem si do Routes přidal bránu 77.77.77.17. Ale chybí mi DHCP a DNS 10.0.0.1 + nějaká ta doporučená pravidla do firewallu. Snad to mám zatím správně.

[David2006]

Zatím jsem to zkusil takto, ale fakt nevím jestli to vůbec pomaká.

MANGLE
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=mark-routing new-routing-mark=downlink
passthrough=yes dst-address=77.77.77.18

NAT
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=8088
protocol=tcp dst-address=77.77.77.18 dst-port=8088

1 chain=srcnat action=src-nat to-addresses=77.77.77.18
routing-mark=downlink out-interface=ether2


ADDRESS
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 77.77.77.18/29 77.77.77.16 ether2
1 192.168.0.1/24 192.168.0.0 ether3


ROUTE
4
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 S dst-address=0.0.0.0/0 gateway=77.77.77.17
gateway-status=77.77.77.17 on downlink unreachable distance=1
scope=30 target-scope=10 routing-mark=downlink

1 DC dst-address=192.168.0.0/24 pref-src=192.168.0.1 gateway=ether3
gateway-status=ether3 unreachable distance=255 scope=10
routing-mark=downlink

2 S dst-address=0.0.0.0/0 gateway=77.77.77.17
gateway-status=77.77.77.17 unreachable distance=1 scope=30
target-scope=10

3 DC dst-address=77.77.77.16/29 pref-src=77.77.77.18 gateway=ether2
gateway-status=ether2 unreachable distance=255 scope=10

POOLS
# NAME RANGES
0 dhcp_pool3 192.168.0.20-192.168.0.200

DHCP-SERVER
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 dhcp3 ether3 dhcp_pool3 3d

[ludvik]

Mohu se zeptat, proč to prostě nezkusíš?

Co si slibuješ od routing marku? To vyhoď ...

[David2006]

Díky. Z Mangle jsem vyhodil routing Mark a konfiguraci upravil tak abych to mohl otestovat dřív jak tam pojedu. Co funguje je DHCP pool a ping z Eth3 na bránu 192.168.0.1 a pak z Eth2 ping na bránu 77.77.77.17. Nefunguje mi prostě propojení mezi Eth2 a Eth3. DNS je taky ve hvězdách spolu s úpravou toho co by bylo vhodné blokovat.

[ludvik]

Jak si mám představit "propojení eth2 a eth3"? Samozřejmě, že by fungovalo, kdybys z internetu dokázal poslat data na adresu 192.168... Fungovat bude jen ten DST-NAT.
DNS - co je za problém? Nastav si tam jako servery nějaké od svého poskytovatele, nebo google 8.8.8.8 a 8.8.4.4. A pomocí DHCP přiděluješ jako DNS stejnou IP, jako bránu.

Firewall se holt musíš naučit. Principielně se jako první povolí na forwardu (i inputu) state ESTABLISHED a RELATED. Směrem z internetu povolíš jen ten DST-NAT a zbytek zakážeš. Směrem obráceným nemusíš pro začátek zakazovat nic. Já zakazuji porty 1900, 19 a 17, plus sambu 136-139 (445 ale nechávám) a 135.
Na inputu ze strany internetu zakážeš VŠE a na straně lan, pokud to je jen tvoje klidně povol vše.

To je jako naprostý základ. Těžko se radí stavba firewallu, když se neví, co se od toho požaduje ...

[David2006]

Díky za osvětlení. Tím propojením Eth2 a 3 jsem samosebou myslel že mi musí jet na Eth3 internet. A pokud se z něj nedostanu na Eth2 resp. nepingnu ani 77.77.77.18 ani 17 či seznam.cz tak to prostě je pro mě špatně. Prostě na Eth3 bude vyset DHCPko s tím že mimo pool bude jedna daná IP kde bude ještě pronatovaný ten port. A někde mám prostě chybu.

[ludvik]

Používej diagnostiku ... třeba TORCH a sleduj co kam teče. Nebo loguj ve firewallu a uvidíš to taky.

77.77.77.18 je IP na tom routeru, jestli to dobře chápu. Neumím si představit, že na to nepingneš z jiného segmentu toho samého routeru. Firewall zatím nemáš, že bys to blokoval. Nezapomněl jsi tam ty svoje routing-marky?

[ludvik]

Mikrotik umí quick-set, nebo jak se to jmenuje. Nikdy jsem to nezkoušel ... ale mohlo by ti to nastavit základ funkční. Dokonce i default konfigurace je taková, že po doplnění WAN adresy to začne fungovat.