Nat Loopback
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
Stealth
- Сообщения: 6
- Зарегистрирован: 12 мар 2016, 23:54
Ну можно ещё заменить netmap на dst-nat, и убрать запись DNS вообще (хотя мне с ней больше нравилось, на случай если вдруг скрипт dyndns не отработает). Получается совсем коротко и понятно, как вам такой вариант? Всего 2 правила... Порт RDP 3389 форвардится с роутера на адрес 192.168.88.2, как снаружи, так и внутри сети:
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
add action=dst-nat chain=dstnat comment=RDP dst-address-type=local dst-port=3389 protocol=tcp to-addresses=192.168.88.2
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
add action=dst-nat chain=dstnat comment=RDP dst-address-type=local dst-port=3389 protocol=tcp to-addresses=192.168.88.2
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Если вы боитесь что скрипт не отработает то харп вам вобще в вашем решении не нужен
Кривость вашего решения заключается в том что вы ВЕСЬ трафик который идет через микротик вы маскарадите.
1. Вы реально увеличиваете нагрузку из за ненужных действий
2. Любое соединение которое прходит через ваш фаервол уходит с адресом микротика, тобиш все фаерволы и антивирусы т.п. не могут отличить левое соединение от своего
3. Если вы когда ни буть воткнете галку в бридже и трафик бриджа у вас пойдет через фаервол то у вас начнется локальный капец, особенно если кто то захочет чего то прогнать тяжелое
4. ну и еще куча всего
Кривость вашего решения заключается в том что вы ВЕСЬ трафик который идет через микротик вы маскарадите.
1. Вы реально увеличиваете нагрузку из за ненужных действий
2. Любое соединение которое прходит через ваш фаервол уходит с адресом микротика, тобиш все фаерволы и антивирусы т.п. не могут отличить левое соединение от своего
3. Если вы когда ни буть воткнете галку в бридже и трафик бриджа у вас пойдет через фаервол то у вас начнется локальный капец, особенно если кто то захочет чего то прогнать тяжелое
4. ну и еще куча всего
Есть интересная задача и бюджет? http://mikrotik.site
-
Stealth
- Сообщения: 6
- Зарегистрирован: 12 мар 2016, 23:54
Ну не то, чтобы боюсь что не отработает скрипт обновления dyndns, но ведь всякое бывает, к примеру такой вариант: сервера dyndns пару дней лежат под DDoS атакой, а в случае подстраховки DNS записью, с доступом из локалки по доменному имени всё будет хорошо даже и в этом случае...
По поводу маскарадинга - да, я понял вас, большое спасибо за разъяснение. Действительно, маскарадить весь трафик - плохая идея. Надо маскарадить только то, что будет форвардиться. Т.е. проброс будет выглядеть таким образом:
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment=RDP dst-address-type=local dst-port=3389 protocol=tcp to-addresses=192.168.88.2
add action=masquerade chain=srcnat dst-address=192.168.88.2 dst-port=3389 out-interface=bridge-local protocol=tcp src-address=192.168.88.0/24
Теперь ведь верно всё? ;-)
По поводу маскарадинга - да, я понял вас, большое спасибо за разъяснение. Действительно, маскарадить весь трафик - плохая идея. Надо маскарадить только то, что будет форвардиться. Т.е. проброс будет выглядеть таким образом:
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment=RDP dst-address-type=local dst-port=3389 protocol=tcp to-addresses=192.168.88.2
add action=masquerade chain=srcnat dst-address=192.168.88.2 dst-port=3389 out-interface=bridge-local protocol=tcp src-address=192.168.88.0/24
Теперь ведь верно всё? ;-)
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну вот это уже куда не шло.
Но в вашем случае я бы тупо в ДНС создал статическую запись с внутренним адресом сервера и тогда никаких в принципе пробросов ненужно
Но в вашем случае я бы тупо в ДНС создал статическую запись с внутренним адресом сервера и тогда никаких в принципе пробросов ненужно
Есть интересная задача и бюджет? http://mikrotik.site
-
Stealth
- Сообщения: 6
- Зарегистрирован: 12 мар 2016, 23:54
Ну, тут дело в том, что сервер с 3389 - не единственное, что нужно пробросить. Ещё есть сервер с Radmin с портом 4899, веб сервер на 800 порту, и это всё разные компьютеры с разными IP, а внешнее DNS Name только одно. Поэтому я и делал в ДНС статическую запись с внутренним адресом не сервера (их несколько), а микротика, а уже с него пробросы идут...