Глупые вопросы.

Обсуждение ПО и его настройки
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

С вешним IP затык - он динамический, но ради интереса попробовал, не прокатило. Быть может есть другой вариант развернуть запросы на внутренний адрес?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Ситуация немного прояснилась, но без сторонней помощи знающих не разберусь. В общем, решил продолжить настройку и открыть 80ый порт для доступа к вебморде WHS и выяснил слудующее: Запросы снаружи прилетают как положено, с перенаправлением на домашний серв, но из лан, по запросу внешнего адреса(ddns имени то же) меня кидает на вэбморду микротика, получается раньше и по 9091у порту и по 3389у то же я стучался не на машину которую хотел, а на микротик. Вопрос, как это вылечить?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

посмотрите документацию

viewtopic.php?f=8&t=6

разделы firewall (чтобы представлять цепочки файрволла)

и NAT - там описанны все технологии, а внизу есть вполне рабочие примеры по пробросу портов


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
anton
Сообщения: 2
Зарегистрирован: 25 ноя 2011, 11:45

Добрый День!
Подсказите пожалуйста. Не получается настроить проброс RDP портa

ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=dst-nat to-addresses=192.168.1.5 to-ports=3389
protocol=tcp dst-address=91.210.46.111 dst-port=3389

1 ;;; default configuration
chain=srcnat action=masquerade out-interface=pppoe-out1

=============================================

ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp

1 ;;; default configuration
chain=input action=accept connection-state=established
in-interface=ether1-gateway

2 ;;; default configuration
chain=input action=accept connection-state=related
in-interface=ether1-gateway

3 chain=forward action=accept protocol=tcp dst-address=192.168.1.5
dst-port=3389

4 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway


anton
Сообщения: 2
Зарегистрирован: 25 ноя 2011, 11:45

само заработало=)


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

iSupport писал(а):посмотрите документацию

viewtopic.php?f=8&t=6

разделы firewall (чтобы представлять цепочки файрволла)

и NAT - там описанны все технологии, а внизу есть вполне рабочие примеры по пробросу портов

Правило "внизу" вроде как раз то, по которому я и колбасил свой тик. Может у меня чего то не хватает, или что то в фаерволе откорректировать, сам я не додумаюсь, посему просите любые данные предоставлю все возможное.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

правило проброса должно выглядеть так

chain=dstnat action=dst-nat to-addresses=192.168.1.254 to-ports=3389 protocol=tcp dst-address=8.8.8.8 dst-port=8280

при запросе на микротик по адресу 8.8.8.8 на порт 8280 микротик пересылает запросы локальной машине 192.168.1.254 на порт 3389


если у Вас стоит в фильтре правило drop input - то порт необходимоо открыть отдельным правилом


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

"dst-address=8.8.8.8" это как я понимаю внешний ИП мой? Он у меня динамический, за сутки раза 2-3 влегкую может смениться, провайдер инет предоставляет посредствам PPPoE, как быть без него?

ip firewall nat print

0 ;;; Added by webbox
chain=srcnat action=masquerade src-address-list=inet out-interface=domolink

1 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=9091 protocol=tcp in-interface=domolink
dst-port=9091

2 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=3389 protocol=tcp in-interface=domolink
dst-port=3389

3 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=9750 protocol=tcp in-interface=domolink
dst-port=9750

4 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=11111 protocol=tcp in-interface=domolink
dst-port=11111

5 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=11111 protocol=udp in-interface=domolink
dst-port=11111

6 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=80 protocol=tcp in-interface=domolink dst-port=80

7 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=443 protocol=tcp in-interface=domolink dst-port=443

8 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=4125 protocol=tcp in-interface=domolink
dst-port=4125

З.Ы. "domolink" PPPoE соединение, без "in-interface=domolink" в правиле любого из выше перечисленных пробросов невозможно по этим портам выйти вовнешку, то есть если я пробросил RDP(3389) и в правиле нет "in-interface=domolink"(или eth1) то из дома подключится к любой другой машине где то там я не смогу, но извне подключится к своей машине могу. Указать "dst-address=" пробовал, но это то же не помогало, из локалки по DDNS запросу все равно не происходит перенаправление, точнее происходит но как я понял на сам тик, а не на машину которую хочу.

ip firewall filter print

0 ;;; Added by webbox
chain=input action=accept protocol=icmp

1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=domolink

2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=domolink

3 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=3389

4 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=9091

5 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=9750

6 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=11111

7 chain=forward action=accept protocol=udp dst-address=192.168.11.10
dst-port=11111

8 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=80

9 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=443

10 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=4125

11 ;;; Added by webbox
chain=input action=drop in-interface=domolink

12 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=domolink

13 ;;; Added by webbox
chain=customer action=accept connection-state=established

14 ;;; Added by webbox
chain=customer action=accept connection-state=related

15 ;;; Added by webbox
chain=customer action=drop
Тут вроде все пучком?

З.З.Ы. На всякий случай напоминаю, сам проброс работает, извне все эти порты видны по ним можно подключаться и все в порядке. Но если я из локалки, которая находится за этим тиком, попробую так же по DDNS имени попасть на вэбморду хоум серва то увижу вэбинтерфейс тика.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

добавьте chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=80 protocol=tcp in-interface=Локалка, ИП микротика dst-port=80


и попробуйте отключить
11 ;;; Added by webbox
chain=input action=drop in-interface=domolink


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

iSupport писал(а):Как вариант добавть DST-nat

in interface = ваша локалка

DST Адрес = твой внешник

ДСТ порт = порт проброса

Действие = DST nat

ip сервера куда

порт сервера

Нашел затык - chain=srcnat action=masquerade out-interface=domolink, вот тут автоматом(я через вэбинтерфейс создавал) создавалось out-interface=domolink, это лишнее. Если это убрать то и остальные правила DST-nat создать как вы указали(с добавлением DST Адрес = твой внешник то все работает, ресурсы доступны и из сети и из тырнета. Но еще раз повторюсь, DST Адрес = твой внешник - динамический, а без него не работает, так что осталось только решить вопрос как это обойти?


Ответить