Доброго времени суток =)
Что-то у меня какой-то ступор настал.. Может недосып...
Ситуация такова: есть белый IP... с внешки проброшен порт, например 8022 на 192.168.10.100:22
В самом верху фильтров фаервола торчит правило, которое должно отлавливать обращение к проброшенному порту 8022... Правило не ловит пакеты. А если убрать порт 8022 из ната, то правило работает... Правило ставил и на инпут, и на форвард, и что только не делал... не работает и всё тут(((
Проброшенные порты... (лыжи не едут)
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Насколько я помню, в фаеровле почему то указывается действительный порт в вашем случае 22, а вот в нате - dst. port это "кривой" 8022, а to ports уже нормальный - 22
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
EdkiyGluk писал(а):Доброго времени суток =)
Что-то у меня какой-то ступор настал.. Может недосып...
Ситуация такова: есть белый IP... с внешки проброшен порт, например 8022 на 192.168.10.100:22
В самом верху фильтров фаервола торчит правило, которое должно отлавливать обращение к проброшенному порту 8022... Правило не ловит пакеты. А если убрать порт 8022 из ната, то правило работает... Правило ставил и на инпут, и на форвард, и что только не делал... не работает и всё тут(((
1) слегка всё же я не всё понял
2) сделайте в Filter Rules правило JUMP и попробуйте им отловить хотя бы что угодно на 8022 порту
3) проверьте ещё раз внутри правил отвечающие за порт 22 и 8022 - нет ли там строчек пустых,
по началу когда я начинал работать в винбоксе замечал что когда тыкаешь на каком то поле, поле активируется,
туда что-то подставляется, а потом из-за этого и не работает.
4) ещё может быть у Вас нахлёст произошёл, проброс на порт 22 и порт 22 в самом микротике....попробуйте отключить в микротике временно сервис SSH
5) В правиле проброса поиграйтесь с такими полями (попробуйте использовать то одно, то потом другое) как - DST.Port и Any.Port
6) удалить все правила связанные с портом 8022 (и проброс и NAT) и сделать заново.
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
Вот так выглядит правило проброса порта
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 \
dst-port=8022 protocol=tcp to-addresses=\
192.168.0.195 to-ports=22
Вот так выглядит правило в в фильтрах фаервола
add action=accept chain=input dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp
в фильтре ставил и форвард и прочие радости.... не работает.... но если "грохнуть" правило ната, то фильтр начинает работать...
====================================
Такая же картина с каждым проброшенным портом... ((((
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 \
dst-port=8022 protocol=tcp to-addresses=\
192.168.0.195 to-ports=22
Вот так выглядит правило в в фильтрах фаервола
add action=accept chain=input dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp
в фильтре ставил и форвард и прочие радости.... не работает.... но если "грохнуть" правило ната, то фильтр начинает работать...
====================================
Такая же картина с каждым проброшенным портом... ((((
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Я же написал, в фаерволе почему то надо указывать НЕ "кривой" - 8022, А "нормальный" - 22, тогда заработает.
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
неа(((( не работает тоже
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Очевидно правило проброса срабатывает раньше, чем правила фильтрации.
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Если 192.168.10.100 это не сам микротик, то в фаервольное правило не правильное, у вас цепочка input, а должна быть forward
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
gmx писал(а):Очевидно правило проброса срабатывает раньше, чем правила фильтрации.
От блин, век живи, век учись. Надо наверно все же курсы посетить)))
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
gmx писал(а):Очевидно правило проброса срабатывает раньше, чем правила фильтрации.
Т.е. фильтрами мы никак не закрываем проброшенные порты?