Zdravím mám rychlý dotaz, dá se v mikrotiku nastavit když příchozí připojení (type input) směruju pomocí dst-nat na interní ip, aby se dst-nat provedl až po projití firewallu?
Ve firewallu mám"drop input ether1" nicméně příchozí provoz se stejně směruje. Dá se tedy nějak nastavit aby DST-NAT proběhl až po zkontrolování firewallu? Díky
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
V: DST-NAT až po projití firewallu (MIKROTIK)
V: DST-NAT až po projití firewallu (MIKROTIK)
Naposledy upravil(a) puchnar dne 21 Apr 2018 20:56, celkem upraveno 1 x.
0 x
PREROUTING ve kterém probíhá NAT je před INPUT/FORWARD. INPUT jsou data, která končí přímo na routeru. Pokud uděláš DST-NAT na nějakou LAN IP, tak ta data nekončí na routeru a tudíž nejdou přes INPUT. Pokud taková spojení potřebuješ omezovat, udělej to ve FORWARD, příp. udělej selektivní už to DST-NAT pravidlo.
0 x
rsaf píše:PREROUTING ve kterém probíhá NAT je před INPUT/FORWARD. INPUT jsou data, která končí přímo na routeru. Pokud uděláš DST-NAT na nějakou LAN IP, tak ta data nekončí na routeru a tudíž nejdou přes INPUT. Pokud taková spojení potřebuješ omezovat, udělej to ve FORWARD, příp. udělej selektivní už to DST-NAT pravidlo.
Děkuji za odpověď to znamená že by to mnělo jít omezit chainem forward? tzn kontrolovat provoz na tu cílovou IP toho dst-natu?
0 x
-
- Příspěvky: 83
- Registrován: 7 years ago
Ano. Tohle je dobrý obrázek - http://www.cs.vsb.cz/grygarek/TPS-0304/ ... rewall.gif .
Nejprve se přepíše cílová adresa podle DST-NAT a potom router řeší, zda to je pro něj (aplikuje INPUT) nebo pro někoho jiného (aplikuje FORWARD). V tom už se pak používá jako destination IP ta cílová adresa (co nahradila původní).
Nejprve se přepíše cílová adresa podle DST-NAT a potom router řeší, zda to je pro něj (aplikuje INPUT) nebo pro někoho jiného (aplikuje FORWARD). V tom už se pak používá jako destination IP ta cílová adresa (co nahradila původní).
0 x