Pristup na svou verejni ip adresu zevnitr site

[Jan Holub]

Řekl bych, že tam potřebuješ udělat toto:

Kód: Vybrat vše

iptables -t nat -A PREROUTING -i eth1 -d 88.89.100.103 -j DNAT --to-destination 10.6.2.2
iptables -t nat -A POSTROUTING -d 10.6.2.2/32 -s 10.6.2.0/24 -j SNAT --to-source 10.6.2.1


Za předpokladu, že eth1 je iface směrem do lan. Místo toho prvního můžeš jen zrušit to -i eth0 ve tvém stávajícím PREROUT pravidle.

[snop]

Řekl bych, že tam potřebuješ udělat toto:
Za předpokladu, že eth1 je iface směrem do lan. Místo toho prvního můžeš jen zrušit to -i eth0 ve tvém stávajícím PREROUT pravidle.

Na tem mikrotiku je iba jeden ethernet.

[Jan Holub]

Na mikrotiku?? Sorry to jsem teda přehlíd. Zmátlo mě asi iptables.

Tak takhle no:

Kód: Vybrat vše

iptables -t nat -A POSTROUTING -d 10.6.2.2/32 -s 10.6.2.0/24 -j SNAT --to-source 10.6.2.1

Neboli, když je to teda MT:

Kód: Vybrat vše

ip firewall nat add chain=srcnat dst-address=10.6.2.2/32 src-address=10.6.2.0/24 action=src-nat to-addresses=10.6.2.1

[Petr Vlašic]

Na mikrotiku?? Sorry to jsem teda přehlíd. Zmátlo mě asi iptables.

A kdo říká, že na MikroTiku(jestli tím myslí RouterBoard) musí běžet RoS? Abych pravdu řekl, tak jsem z toho také zmaten.Klient i Server jsou na jednom počítači a do toho je zapleten Router(RoS nebo GNU?) a iptables. A data která jsou na lokální stanici budou putovat přes Router. Z toho už se rýsuje pěkná telenovela kalibru Esmeralda.

Kód: Vybrat vše

iptables -t nat -A POSTROUTING -d 10.6.2.2/32 -s 10.6.2.0/24 -j SNAT --to-source 10.6.2.1

No jo, a co se SYN/ACK odpovědí? Ta bude mít dst-address=10.6.2.1, ale to není přece cíl. Proto jsem se ptal, zda-li by nebylo lepší to udělat maškarádou. A nebo úplně nejlépe to vyřešit na klientském/serverovém PC aby data nemusela na drát.

Neboli, když je to teda MT:

Kód: Vybrat vše

ip firewall nat add chain=srcnat dst-address=10.6.2.2/32 src-address=10.6.2.0/24 action=src-nat to-addresses=10.6.2.1

Je to s podivem, ale toto opravdu v RoS funguje.

[snop]

Takze mam tu dve pravidla prikazi pisu v iptables, nebo nevim jaka je syntax pro mikrotik, ale i tak je do v konecnem dusledku to stejne:

Prve mi doporucil Petr Vlašic:

Kód: Vybrat vše

iptables -t nat -A POSTROUTING -o eth0 -d 88.89.100.103 -j SNAT --to-source 10.6.2.1

a druhe ty a to:

Kód: Vybrat vše

iptables -t nat -A POSTROUTING -d 10.6.2.2/32 -s 10.6.2.0/24 -j SNAT --to-source 10.6.2.1

Dalej prikladam obrazek, ktery pekne objsani cestu paketu cez NAT iptables, teda cez firewall:
http://www.root.cz/clanky/stavime-firewall-2/

Podle Petra Vlašice by mnelo fungovat toto:

Kód: Vybrat vše

iptables -t nat -A PREROUTING -i eth0 -d 88.89.100.103 -j DNAT --to-destination 10.6.2.2
iptables -t nat -A POSTROUTING -o eth0 -s 10.6.2.2 -j SNAT --to-source 88.89.100.103
iptables -t nat -A POSTROUTING -o eth0 -d 88.89.100.103 -j SNAT --to-source 10.6.2.1

a podle tebe toto:

Kód: Vybrat vše

iptables -t nat -A PREROUTING -i eth0 -d 88.89.100.103 -j DNAT --to-destination 10.6.2.2
iptables -t nat -A POSTROUTING -o eth0 -s 10.6.2.2 -j SNAT --to-source 88.89.100.103
iptables -t nat -A POSTROUTING -o eth0 -d 10.6.2.2/32 -s 10.6.2.0/24 -j SNAT --to-source 10.6.2.1

Podle mne nebude fungovat ani jedno

Podle mne by to mohlo fungovat takto:

Kód: Vybrat vše

iptables -t nat -A PREROUTING -i eth0 -d 88.89.100.103 -j DNAT --to-destination 10.6.2.2
iptables -t nat -A POSTROUTING -o eth0 -s 10.6.2.2 -d ! 10.6.2.2 -j SNAT --to-source 88.89.100.103

[snop]

A kdo říká, že na MikroTiku(jestli tím myslí RouterBoard) musí běžet RoS? Abych pravdu řekl, tak jsem z toho také zmaten.Klient i Server jsou na jednom počítači a do toho je zapleten Router(RoS nebo GNU?) a iptables. A data která jsou na lokální stanici budou putovat přes Router. Z toho už se rýsuje pěkná telenovela kalibru Esmeralda.

J, klient i web server jsou na tem stejnem kompe, a pristupovat na ten web server chci cez svou ver. ip, takze tym padem musi pakety preletet cez Mikrotik. Syntaxi iptables pouzivam iba proto, nebo neumym syntaxi firewallu na mikrotiku.

[Petr Vlašic]

J, klient i web server jsou na tem stejnem kompe, a pristupovat na ten web server chci cez svou ver. ip, takze tym padem musi pakety preletet cez Mikrotik.

A co přidat záznam do /etc/hosts? Nebo je to podmínka, že pakety musí na drát?

Syntaxi iptables pouzivam iba proto, nebo neumym syntaxi firewallu na mikrotiku.

Tak proč se tady potom pářeme s nějakými POSTROUTINGy a PREROUTINGy?

Kód: Vybrat vše

/ip firewall nat add chain=src-address src-address=10.6.2.2 dst-address=88.89.100.103 out-interface=ether1 action=masquerade
/ip firewall nat add chain-dst-nat dst-address=88.89.100.103 in-interface=ether1 action=dst-nat to-address=10.6.2.3

[snop]

A co přidat záznam do /etc/hosts? Nebo je to podmínka, že pakety musí na drát?

Ano to je podminka. Uz vysse sem spominal, ze chci testovat cerifikat, SSL a chci simulovat ostry provoz.

Tak proč se tady potom pářeme s nějakými POSTROUTINGy a PREROUTINGy?

Kód: Vybrat vše

/ip firewall nat add chain=src-address src-address=10.6.2.2 dst-address=88.89.100.103 out-interface=ether1 action=masquerade
/ip firewall nat add chain-dst-nat dst-address=88.89.100.103 in-interface=ether1 action=dst-nat to-address=10.6.2.3

Proto ze nerozumim syntaxi mikrotik firewallu. Mno ale to prekousnu, proc to-address=10.6.2.3 kdyz taky komp v nasem pripade ani neexistuje ? nema to byt to-address=10.6.2.2 ? add chain-dst-nat neni tam chyba ? Pls, kdyz jo tak ty chyby oprav.

Takze to mam uz dokopy, tri durhy pravidel ktere budu skouset. Snad aspon jedno snich pude.
Jeste bych chtel poprosit, muze te to prepsat do syntaxe iptables ?

[Petr Vlašic]

Ano to je podminka. Uz vysse sem spominal, ze chci testovat cerifikat, SSL a chci simulovat ostry provoz.

Aha, ještě SSL. No tak to jsem teda fakt zvědav.

Proto ze nerozumim syntaxi mikrotik firewallu. Mno ale to prekousnu

Jí není ani potřeba rozumět...stačí spustit konzoli a jít na to metodou copy&paste,

proc to-address=10.6.2.3 kdyz taky komp v nasem pripade ani neexistuje ? nema to byt to-address=10.6.2.2 ? add chain-dst-nat neni tam chyba ? Pls, kdyz jo tak ty chyby oprav.

Já měl zase za to že "ten comp" má na jednom rozhraní dvě IP, ale pokud to tak není, tak potom stačí jen nahradit vše z 10.6.2.3 na 10.6.2.2.

[Jan Holub]

Kód: Vybrat vše

iptables -t nat -A POSTROUTING -d 10.6.2.2/32 -s 10.6.2.0/24 -j SNAT --to-source 10.6.2.1

No jo, a co se SYN/ACK odpovědí? Ta bude mít dst-address=10.6.2.1, ale to není přece cíl.

10.6.2.1 je cíl, který to prožene zpětně natem na 10.6.2.2. SNAT ani DNAT samozřejmě není jednosměrný, to by nikdy nic nefungovalo

[Jan Holub]

Podle mně spíš takto:

Kód: Vybrat vše

iptables -t nat -A PREROUTING -i eth0 -d 88.89.100.103 -j DNAT --to-destination 10.6.2.2
iptables -t nat -A POSTROUTING -o eth0 -d 10.6.2.2/32 -s 10.6.2.0/24 -j SNAT --to-source 10.6.2.1
iptables -t nat -A POSTROUTING -o eth0 -s 10.6.2.2 -j SNAT --to-source 88.89.100.103


Tedy prohozená pravidla.

[Jan Holub]

Podle mne by to mohlo fungovat takto:

Kód: Vybrat vše

iptables -t nat -A PREROUTING -i eth0 -d 88.89.100.103 -j DNAT --to-destination 10.6.2.2
iptables -t nat -A POSTROUTING -o eth0 -s 10.6.2.2 -d ! 10.6.2.2 -j SNAT --to-source 88.89.100.103

No jo, ale tohle už tam vpodstatě máš, a nefunguje že