Ahoj po nekolika hodinach marneho snazeni jsme se rozhodl napsat na forum. Situace se ma takto... Na routeru Mikrotik winbox 3.31 RB 750G mam nastaveno presmerovani portu na nekolik sluzeb co mi bezi na PC v LAN. Problem je u jedne sluzby (APACHE) na portu 80. Sluba bezi lokalne, dostanu se ne ten web server i z jinych PC v LAN. Na routeru mam nastaveno presmerovani z 8080->80. Na teto strance si muzu overit zda to funguje http://www.t1shopper.com/tools/port-scan/ . Ten 8080 tam mam pouzity pac na 80 mi bezi web rozhrani k mikrotiku. Problem je ze to presmerovani z 8080 -> 80 mi nejede. Kdyz vsak za 80 dam jakoukoliv jinou sluzby napr ftp port 21 tak to funguje. Uz si s tim nevim rady:( Budu rad za kazdou radu. Pristup na muj router je 85.132.201.11. jmeno i heslo je demo
Diky
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Nefunguje presmerovani portu u jedne sluzby
jikan řečeno se tam dostaneš z venku ale zevnitř ne?
Jinak je zajímavý že máš natování portů bez src nebo dts address. To je docela vo hubu.
Jinak je zajímavý že máš natování portů bez src nebo dts address. To je docela vo hubu.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Prave ze se tam dostanu na tu sluzbu z LAN v pohode, ale z venku me to nechce presmeovat a nevim proc. Proc myslis ze NAT bez src nebo dts address je o hubu? SRC tam podle me byt nemusi pac chci aby tam byl pristup z libovolneho zdroje. DST by teda mozna melo byt vyplneno na 85.132.201.11.
0 x
myslel jsem obecně že to tam nemáš. u dst natu by bylo příhodný tam mít dst address.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
To jsem tam u toho jednoho pravidla (apache) doplnil ale stejne mi to porad nejede:(
0 x
Já tam nějak postrádám pravidlo pro forward portu 80. A jinak, pokud neznáte přesně Packet Flow, tak je nejednodušší povypínat všechna pravidla ve firewallu a pak je postupně zapínat až do doby, kdy se to nespojí 
.
.
0 x
No vsak ja tam nepotrebuju forward 80tky. Chci by kdyz nekomu poslu link http://85.132.201.11:8080 aby to fungovalo. Na FW mam povolen 8080 a pak v NAT mam nastaveno presmerovani z 8080 na 80 coz by melo umoznit normalni funkci. Divne je ze kdyz ten port 80 zamenim za napr 21 tak to premerovani aj FW funguje.
0 x
No funguje to s portem 21 třeba proto, že forward portu 21 je povolen...
0 x
Jo ale u toho apache to neni treba, pac ty se z venku prihlasis na 8080 (to na FW povoleno je) a pak je tam dst nat pravidlo ktere te presmeruje z 8080 na port 80 PC v LAN. Teoreticky je to prece spravne ne?
0 x
no ale pokud dobře vidim, tak máš accept jenom na 8080 jako dst port, pak to jumpneš do customer a na konci dáš drop. Sem ří říkal aby jsi specifikoval src nebo dst adresy jinak se z toho posereš. Stejně nějak nevidim důvod proč tam máš ten jump a na konci drop. Tohle neni firewall ale volovina z microsoftu.
Všimni si když chceš na ten apache, tak se přičte paket do dropu. Prosim tě? na co ten firewall je? Můžeš to nějak obhájit?
Všimni si když chceš na ten apache, tak se přičte paket do dropu. Prosim tě? na co ten firewall je? Můžeš to nějak obhájit?
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
OK. Takze jak ta pravidla vznikla: Pracoval jsem ve firme s kolegou ktery se v konfiguraci Mikrotiku vyznal a tak jsme ho poprosil o pomoc s nastavenim. Nastavil mi to asi jen v zakladu tak aby to fungovalo. Udelal to tak ze se prihlasil na WEB rozhrani a zatrhl "protect router, protect LAN a NAT" a ve winboxu se objevila nova pravidla - ta ktera jsou popsana jako "added by webbox". Nechal jsem je na konci a pridal na zacatek nova, nastavil NAT a vse mi jelo. Ted kdyz mi pisete ze mi tam chybi to ci ono a pak ohledne tech pravidel z webboxu tak uz si nejsem jisty nicim. Uz jsem specifikoval adresy u prvniho pravidla - muzete se nekdo podivat jestli je to spravne a jestli to staci? Radeji bych byl kdyby ste mi poradili jak teda ta pravidla nastavit aby byla spravne - nebo mi muzete dat demo pristup na vas router abych se podival.
0 x
páni, ten se v tom vyznal. Ty pravidla vyhoď, udělej jedno co bude drop všeho, a pak před něj vkládej ty vyjímky
0 x
vykasli se na pravidla. vsechny bych je poslal do kose. u routeru je fw tak trochu k nicemu. fw ma bejt v pocitaci. a na lidi co tomu rozumi a spravujou mikrotika pres webbox bych si dal pozor protoze to co tam je nema zadnej smysl
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Pravidla ktera jsme mel vytvorene pro ruzne sluzby jsem nechal a disabloval jsem ty co pridal webbox. Na konec jsme vytvoril 4 pravidla.
Prvni je nasledujici. (action je accept, connection state je established)
Nasledujici 3 jsou nasledujici... http://img130.imageshack.us/img130/7297/obrazovkay.png Jako retezec jsme dal input output a customer (i kdyz nevim co znamena). Action je u vsech trech drop.
Je tedy podle vas tentokrat FW nastaven spravne? (Co se tyka funkce sluzeb tak to je OK)
Mimochodem bych se chtel zeptat co si mam predstavit po chainem customer. Na netu to nemuzu ńajit - vsude jsou zmineny jen "input,output,forward".
Prvni je nasledujici. (action je accept, connection state je established)
Nasledujici 3 jsou nasledujici... http://img130.imageshack.us/img130/7297/obrazovkay.png Jako retezec jsme dal input output a customer (i kdyz nevim co znamena). Action je u vsech trech drop.
Je tedy podle vas tentokrat FW nastaven spravne? (Co se tyka funkce sluzeb tak to je OK)
Mimochodem bych se chtel zeptat co si mam predstavit po chainem customer. Na netu to nemuzu ńajit - vsude jsou zmineny jen "input,output,forward".
0 x