Nefunguje presmerovani portu u jedne sluzby

[hapi]

řeknu ti to asi takhle. Tohle neni firewall ale řezačka portů. Ty jsi povolil služby co tam máš a ostatní dropnul. Podle mě, zbytečný.

Chain customer je vytvořenej chain do kterýho můžeš směrovat toky pomocí jumpu. Aktuálně ti do něho nic data neposílá takže je zbytečnej.

Bejt tebou tak na filter totálně kašlu a snažim se rozject ten dst-nat.

[polo]

Mne ten dst-nat funguje az na to jedno pravidlo (apache). To funguje jen v pripade ze disabluju v FW to posledni pravidlo - chain:forward, action:drop. Zajimave je ze ostatnim sluzbam to pravidlo nevadi. Nemuzu za boha prijit na to cim to je...

[pthv]

Mne ten dst-nat funguje az na to jedno pravidlo (apache). To funguje jen v pripade ze disabluju v FW to posledni pravidlo - chain:forward, action:drop. Zajimave je ze ostatnim sluzbam to pravidlo nevadi. Nemuzu za boha prijit na to cim to je...

Tak si odchytej a prostuduj packety, ktere tam protekaji, kdyz ve firewallu mas disablovane posledni pravidlo. Rekne ti to pak mnohem vice, co je tim padem jeste potreba povolit, aby to jelo

[hapi]

na tom neni nic zajímavího když změníš dst port z 8080 na 80 a pak teprve jde forwardem kde ho dropneš. To je furt dokola.

[pthv]

na tom neni nic zajímavího když změníš dst port z 8080 na 80 a pak teprve jde forwardem kde ho dropneš. To je furt dokola.

Tos ja to vlakno tak nestudoval ale Kdyz si s tim nevi rady, tak jsem myslel, ze by mu to pomohlo, aby vedel co kam za data beha...

[hapi]

tak co, z moji odpovedi by ti melo dojit, ze povolenim 8080 ve forwardu je k nicemu protoze nez paket projde forwardem tak prochazi preroutingem kde se zmeni dst port na 80 a ten nasledne dropujes ve forwardu. Mikrotika nesnasim za to ze si chainy pojmenoval jinak nez to ma linux. Je to stupidni. prerouting = dst-nat a postrouting = src-nat.

[pthv]

tak co, z moji odpovedi by ti melo dojit, ze povolenim 8080 ve forwardu je k nicemu protoze nez paket projde forwardem tak prochazi preroutingem kde se zmeni dst port na 80 a ten nasledne dropujes ve forwardu. Mikrotika nesnasim za to ze si chainy pojmenoval jinak nez to ma linux. Je to stupidni. prerouting = dst-nat a postrouting = src-nat.

Me je to jasne, ale co tem, kteri se v tom moc nevyznaji... Ti proste musi videt ze uz je to v tom packetu zmenene na port 80 a ze si jej musi povolit. Jinak tomu proste neveri Je to jak ve skolce s malymi detmi

[polo]

Tak kdyz teda vite cim to je muzete mi poradit jake pravidlo vytvorit aby to jelo?

[hapi]

a zdá se že mu to stále nedošlo.

Povol ve forwardu 80 port. Už dávno jsi měl celej filter smazat.

[polo]

... ne nedoslo. OK ted tam mam na FW povoleny port 80 (tak jak jste mi radil). Uz to funguje jen mi neni jasne cim to bylo ze zrovna u teto sluzby to bylo nutne provest... U ostatnich to nebylo za potrebi coz me dost mate.
V kazdem pripade diky za vyreseni problemu.

[hapi]

u ostatních přece neměníš port při dst-natu ne?

[ok2slc]

Pánové toto je ztráta času...
Já jsem mu už nejmíň dvakrát odpověděl, ale jak vidím je to zcela zbytečné.

[polo]

Opravte me jestli se plete ale snad uz chapu jak to funguje (vychazim ze schematu IPTABLES):
Na verejne adrese 85.132.201.11 je Mikrotik. V LAN mam PC 192.168.1.254:80 kde mi bezi Apache. Mam nastaveny dst NAT ze vse co prijde na 85.132.201.11:8080 presmeruj na 192.168.1.254:80. Na FW mam nastaveno pravidlo pro forward ktere povoluje port 80.

Komunikace by pak podle me mela probihat nasledovne:
Dojde pozadavek na 85.132.201.11:8080 -> Mikrotik provede PREROUTING na 192.168.1.254:80 -> Mikrotik se podiva do FW tabulky konkretne chain FORWARD a "rekne" OK packet s dst portem 80 je povolen tudiz ho pusti a moje sluzba funguje. Navic pravidlo ve FW ktere povolovalo port 8080 je vlastne zbytecne.
Ja jsme celou dobu vychazel z toho ze nejprve se kontroluje paket podle FW tabulky a az pak prochazi PRE/POST ROUTINGEM.

[hapi]

promiň ale proč opakuješ moje slova?

[polo]

tak co, z moji odpovedi by ti melo dojit, ze povolenim 8080 ve forwardu je k nicemu protoze nez paket projde forwardem tak prochazi preroutingem kde se zmeni dst port na 80 a ten nasledne dropujes ve forwardu. Mikrotika nesnasim za to ze si chainy pojmenoval jinak nez to ma linux. Je to stupidni. prerouting = dst-nat a postrouting = src-nat.

Asi myslis tohle:) No kdyz jsi to napsal mel jsme jen tuseni co se asi muze dit ale moc jsem tomu nerozumel dokud jsem se nepodival na schema iptables.
Myslim ze tohle tema muzeme uzavrit.
Diky za rady ktere me dotlacily k tomu ze ted uz aspon trochu vim co se to v tom routeru vlastne deje.