NAT. Внешний ip адрес

Обсуждение ПО и его настройки
Ответить
Corvus
Сообщения: 33
Зарегистрирован: 25 апр 2013, 05:39

День добрый. Реально ли передавать в локалку ip адрес входящего соединения.. так как мне нужно видеть что такой то человек с таким то ip внешним соединился ко мне...а то я вижу только ip адрес шлюза... и поэтому софт иногда когда банит (fail2ban) то банит шлюз и доступ закрывается вообще...


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну вы и видите внешний ИП адрес источника


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

он и должен передаваться в локальную сеть. если у вас конечно не стоит где то правила на scr-nat которое меняет адрес источника на адрес микротика. посмотрите все свои правила, которые в цепочке src-nat. обычно люди делают какое то общее правило маскарад, и у них все пакеты уходящие от мтика в обе стороны подменяются его адресом.
выложите свои правила /ip firewall nat


Corvus
Сообщения: 33
Зарегистрирован: 25 апр 2013, 05:39

В нате всего лишь такое правило

Код: Выделить всё

/ip firewall nat 
add action=dst-nat chain=dstnat dst-address=my_wan_ip_address   dst-port=port protocol=tcp  to-addresses=local_ip to-ports=port
add action=masquerade chain=srcnat


Corvus
Сообщения: 33
Зарегистрирован: 25 апр 2013, 05:39

Ответ найден..
Нужно ОБЯЗАТЕЛЬНО указывать на маскараде out interface... вот тогда микротик перестал подменять...на локальный(шлюзовый айпи)
Не знаю почему так... хотелось бы объяснение..на пальцах желательно )


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Да нет, не обязательно. Все зависит от настроек и того что вы хотите.


Есть интересная задача и бюджет? http://mikrotik.site
Corvus
Сообщения: 33
Зарегистрирован: 25 апр 2013, 05:39

ну а больше в нате не было настроек никаких... вот когда указал на маскараде оут интерфейс все заработало как надо


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Если честно то из вашего описания совершенно не понятно чего вы пытаетесь сделать. Возможно указать интерфейс это единственно верное решение.


Есть интересная задача и бюджет? http://mikrotik.site
Corvus
Сообщения: 33
Зарегистрирован: 25 апр 2013, 05:39

Дома держу пару сервисов (всякие скрипты работают и тд, также открыт доступ по ssh). Иногда меня пытаются ломать... идут переборы паролей и тд....
НО когд хочу забанить например и хочу узнать ip откуда идет перебор..то мне показывается ip адрес шлюза.. (микротика) так как микротик затирает (подменяет) src ip адрес...
НО после того как я сделал вышеописанные манипуляции с маскарадом... я начал видеть откуда кто соединяется (айпи адреса).


Ответить