❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

NAT 1:1 + Firewall

Návody a problémy s konfigurací.
Odpovědět
Uživatelský avatar
Petr S.
Příspěvky: 795
Registrován: 17 years ago
Kontaktovat uživatele:
Kontaktovat uživatele Petr S.

NAT 1:1 + Firewall

Příspěvekod Petr S. » 8 years ago

Ahoj,

mám takovej blbej dotaz :)

Nastavil jsem si NAT 1:1

Kód: Vybrat vše

 
 6
      chain=dstnat action=dst-nat to-addresses=192.168.10.24
      dst-address=19.14.11.11 log=no log-prefix=""

 7
      chain=srcnat action=src-nat to-addresses=19.14.11.11
      src-address=192.168.10.24 log=no log-prefix=""



Vše jede, ale teď bych chtěl ještě firewallem nějaký IP adresy, který přistupujou na tu veřejnou IP zaříznout. Ale nějak se mě nedaří. Podle mě je to forward chain, takže něco takého... ale nejede mi to. Netuší někdo, kde by mohl být zádrhel? Někde mám nějakou blbou chybu...

Kód: Vybrat vše

      chain=forward action=drop protocol=tcp dst-address=19.14.11.11
      dst-port=3389 log=no log-prefix=""
0 x
..:: DobraSit.cz ::..
Nahoru
ludvik
Příspěvky: 4448
Registrován: 14 years ago

Příspěvekod ludvik » 8 years ago

Podívej se na obrázek Packet Flow. Třeba na wiki.mikrotik.com

Pak ti to bude jasné. V momentě, kdy jde paket forwardem tam už ta veřejná IP není.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Nahoru
Uživatelský avatar
Petr S.
Příspěvky: 795
Registrován: 17 years ago
Kontaktovat uživatele:
Kontaktovat uživatele Petr S.

Příspěvekod Petr S. » 8 years ago

No, ale když si dám Torch, tak tam vidím, že někdo přistoupil z veřejky a jde to na tu vnitřní IP... Nebo to co ukazuje Torch nemusí přesně odpovídat?
0 x
..:: DobraSit.cz ::..
Nahoru
ludvik
Příspěvky: 4448
Registrován: 14 years ago

Příspěvekod ludvik » 8 years ago

Ano ... jde z nějaké veřejné (tu neměníš), na vnitřní. Ale v tom forwardu máš tvojí veřejnou IP, tedy tu, co měníš v rámci DST-NAT. Koukni se na ten obrázek ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Nahoru
Uživatelský avatar
Petr S.
Příspěvky: 795
Registrován: 17 years ago
Kontaktovat uživatele:
Kontaktovat uživatele Petr S.

Příspěvekod Petr S. » 8 years ago

Díky. To pravidlo mi takhle ale nejelo, musel jsem místo veřejné použít buď vnitřní IP rozhraní do sítě a nebo nastavit input interface. Pak už to jede.

Ten obrázek myslíš tento http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 ?
Nějak to v tom nevidím :|
0 x
..:: DobraSit.cz ::..
Nahoru
ludvik
Příspěvky: 4448
Registrován: 14 years ago

Příspěvekod ludvik » 8 years ago

No o tom jsem mluvil ... měl jsi tam: chain=forward action=drop protocol=tcp dst-address=19.14.11.11
Jenže ta DST tam už v tom paketu prostě není.
Petr S. píše:Díky. To pravidlo mi takhle ale nejelo, musel jsem místo veřejné použít buď vnitřní IP rozhraní do sítě a nebo nastavit input interface. Pak už to jede.

Ten obrázek myslíš tento http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 ?
Nějak to v tom nevidím :|


http://wiki.mikrotik.com/wiki/File:Pack ... m_v6_b.svg
Fakt ne? Co je v tom prerouting?
http://wiki.mikrotik.com/wiki/File:Pfd.png
Končí dstnat ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Nahoru
Uživatelský avatar
Petr S.
Příspěvky: 795
Registrován: 17 years ago
Kontaktovat uživatele:
Kontaktovat uživatele Petr S.

Příspěvekod Petr S. » 8 years ago

jooo, uz to asi chápu :) dík.
0 x
..:: DobraSit.cz ::..
Nahoru
Odpovědět

Zpět na „Konfigurace“