Проброшенные порты... (лыжи не едут)

Обсуждение ПО и его настройки
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Доброго времени суток =)
Что-то у меня какой-то ступор настал.. Может недосып...
Ситуация такова: есть белый IP... с внешки проброшен порт, например 8022 на 192.168.10.100:22
В самом верху фильтров фаервола торчит правило, которое должно отлавливать обращение к проброшенному порту 8022... Правило не ловит пакеты. А если убрать порт 8022 из ната, то правило работает... Правило ставил и на инпут, и на форвард, и что только не делал... не работает и всё тут(((


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Насколько я помню, в фаеровле почему то указывается действительный порт в вашем случае 22, а вот в нате - dst. port это "кривой" 8022, а to ports уже нормальный - 22


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

EdkiyGluk писал(а):Доброго времени суток =)
Что-то у меня какой-то ступор настал.. Может недосып...
Ситуация такова: есть белый IP... с внешки проброшен порт, например 8022 на 192.168.10.100:22
В самом верху фильтров фаервола торчит правило, которое должно отлавливать обращение к проброшенному порту 8022... Правило не ловит пакеты. А если убрать порт 8022 из ната, то правило работает... Правило ставил и на инпут, и на форвард, и что только не делал... не работает и всё тут(((

1) слегка всё же я не всё понял
2) сделайте в Filter Rules правило JUMP и попробуйте им отловить хотя бы что угодно на 8022 порту
3) проверьте ещё раз внутри правил отвечающие за порт 22 и 8022 - нет ли там строчек пустых,
по началу когда я начинал работать в винбоксе замечал что когда тыкаешь на каком то поле, поле активируется,
туда что-то подставляется, а потом из-за этого и не работает.
4) ещё может быть у Вас нахлёст произошёл, проброс на порт 22 и порт 22 в самом микротике....попробуйте отключить в микротике временно сервис SSH
5) В правиле проброса поиграйтесь с такими полями (попробуйте использовать то одно, то потом другое) как - DST.Port и Any.Port
6) удалить все правила связанные с портом 8022 (и проброс и NAT) и сделать заново.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Вот так выглядит правило проброса порта
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 \
dst-port=8022 protocol=tcp to-addresses=\
192.168.0.195 to-ports=22

Вот так выглядит правило в в фильтрах фаервола
add action=accept chain=input dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp

в фильтре ставил и форвард и прочие радости.... не работает.... но если "грохнуть" правило ната, то фильтр начинает работать...
====================================
Такая же картина с каждым проброшенным портом... ((((


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Я же написал, в фаерволе почему то надо указывать НЕ "кривой" - 8022, А "нормальный" - 22, тогда заработает.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

неа(((( не работает тоже


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Очевидно правило проброса срабатывает раньше, чем правила фильтрации.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если 192.168.10.100 это не сам микротик, то в фаервольное правило не правильное, у вас цепочка input, а должна быть forward


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

gmx писал(а):Очевидно правило проброса срабатывает раньше, чем правила фильтрации.

От блин, век живи, век учись. Надо наверно все же курсы посетить)))


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

gmx писал(а):Очевидно правило проброса срабатывает раньше, чем правила фильтрации.

Т.е. фильтрами мы никак не закрываем проброшенные порты?


Ответить