Неверный адрес клиента при пробросе портов

Обсуждение ПО и его настройки
Ответить
introdark
Сообщения: 3
Зарегистрирован: 10 июн 2019, 11:23

Доброго дня.
Просьба помочь в проблеме.
Есть терминальный сервер, который необходимо защитить от брутфорса.
Настроено правило NAT до сервера.
chain=dstnat action=netmap to-addresses=192.168.1.10 to-ports=3389
protocol=tcp dst-address=92.X.X.246 in-interface=eth1
dst-port=55555 log=yes log-prefix="RDP"

Настройки внешнего интерфейса
Address: 92.X.X.246/29
Network: 92.X.X.240
Interface: eth1

Проблема в том, что не определяется ip-адрес клиента, который пытается произвести подключение. Все подключения помечаются адресом шлюза.Пример лога:
10:17:44 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:12567->92.X.X.246:55555, len 52
10:17:48 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:37665->92.X.X.246:55555, len 52
10:18:25 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:12708->92.X.X.246:55555, len 52

Соответственно фильтровать кто подключается и с каких адресов не представляется возможным.
Буду благодарен за любую информацию.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Попробуйте сделать адрес-лист, например с названием No_RDP (будете вносить в него адреса, с которых нельзя подключаться). Для старта добавьте в него 8.8.8.8 :)
А в правило добавить Src. Address List = No_RDP с восклицательным знаком (т.е. кроме этого адрес листа).

Может тогда в логе что появится.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

(и добавлю):

если в логах ничего не появиться, звоните провайдеру (или кто ответственен)
за железку с адресом 92.X.X.241, есть подозрения (что она, железка)
НАТит адреса (Ваше сетку на выходе в Вашу сторону).

(это предположение лишь, но после исполнения советов от Erik_U будет уже чуть понятнее).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
introdark
Сообщения: 3
Зарегистрирован: 10 июн 2019, 11:23

Erik_U писал(а): 10 июн 2019, 12:01 Попробуйте сделать адрес-лист, например с названием No_RDP (будете вносить в него адреса, с которых нельзя подключаться). Для старта добавьте в него 8.8.8.8 :)
А в правило добавить Src. Address List = No_RDP с восклицательным знаком (т.е. кроме этого адрес листа).

Может тогда в логе что появится.
Попробовал, добавил и свой внешний адрес. Все запросы приходят с адреса 92.X.X.241, поэтому меня не блокирует.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Все плохо.
А кто такой 92.X.X.241? (обычно операторы не делают нат в сторону клиента. Это какой то неправильный оператор).


introdark
Сообщения: 3
Зарегистрирован: 10 июн 2019, 11:23

Была проблема на стороне провайдера.

Всем спасибо.


Ответить