Что интересно, если правило сделать
/ip firewall raw
add action=accept chain=prerouting dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp
то правило работает(((
Проброшенные порты... (лыжи не едут)
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Создается впечатление, что вы или форум читаете через строчку, или игнорируете часть сообщений, в данном случае мои. Ну или третий вариант, вы ждали пока вам прям готовые строки напишут, как сейчас я.
Код: Выделить всё
/ip firewall filter
add action=accept chain=forward dst-address=ХХ.ХХ.ХХ.146 dst-port=22 protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp to-addresses=192.168.0.195 to-ports=22
Последний раз редактировалось KARaS'b 15 ноя 2016, 14:53, всего редактировалось 1 раз.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Вот с курсов (это слегка упрощенная таблица)
http://www.mikrotik-trainings.com/docs/ ... outing.jpg
2) Попробуйте вместо dst-nat в поле Action - поставить netmap, мож иначе поведёт себя роутер...
http://www.mikrotik-trainings.com/docs/ ... outing.jpg
2) Попробуйте вместо dst-nat в поле Action - поставить netmap, мож иначе поведёт себя роутер...
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
KARaS'b писал(а):Создается впечатление, что вы или форум читаете через строчку, или игнорируете часть сообщений, в данном случае мои. Ну или третий вариант, вы ждали пока вам прям готовые строки напишут, как сейчас я.Код: Выделить всё
/ip firewall filter
add action=accept chain=forward dst-address=ХХ.ХХ.ХХ.146 dst-port=22 protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp to-addresses=192.168.0.195 to-ports=22
Дык я же ответил - не работает так... и не логично это в любом случае... Представим что у нас есть куча проброшенных 22-ых портов... ;)
В любом случае dmx ответил на вопрос - правила проброса срабатывают раньше, чем правило фильтров... так что фильтрами мы тут ничего не сделаем.....
Можете поэксперементировать даже - берём любой проброшенный порт и пробуем "загасить" его фильтром. Удивляемся и думаем что тут не так...
В общем выход таков - проброшенные порты можно "рубить" через raw правила.. И только так
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
Vlad-2 писал(а):1) Вот с курсов (это слегка упрощенная таблица)
http://www.mikrotik-trainings.com/docs/ ... outing.jpg
2) Попробуйте вместо dst-nat в поле Action - поставить netmap, мож иначе поведёт себя роутер...
Спасибо большущее за схему...!!! Всё встало на свои месте
netmap ставил... толку естественно ноль)), но благодаря схеме понятно почему
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Из всего этого одно не могу понять: если порт проброшен, зачем его еще и фильтрами-то "гасить"??? Мы ведь пробрасывали его, чтобы работало, а пытаемся сделать обратное.
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
EdkiyGluk писал(а):KARaS'b писал(а):Создается впечатление, что вы или форум читаете через строчку, или игнорируете часть сообщений, в данном случае мои. Ну или третий вариант, вы ждали пока вам прям готовые строки напишут, как сейчас я.Код: Выделить всё
/ip firewall filter
add action=accept chain=forward dst-address=ХХ.ХХ.ХХ.146 dst-port=22 protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp to-addresses=192.168.0.195 to-ports=22
Дык я же ответил - не работает так... и не логично это в любом случае... Представим что у нас есть куча проброшенных 22-ых портов... ;)
В любом случае dmx ответил на вопрос - правила проброса срабатывают раньше, чем правило фильтров... так что фильтрами мы тут ничего не сделаем.....
Можете поэксперементировать даже - берём любой проброшенный порт и пробуем "загасить" его фильтром. Удивляемся и думаем что тут не так...
В общем выход таков - проброшенные порты можно "рубить" через raw правила.. И только так
Извиняюсь, не вник до конца, думал пробросить пытаетесь.
Но тогда присоединяюсь к товарищу gmx, зачем блокировать то, что вы пробросили?
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
Защита проброшенных портов от кулхацкеров. Ибо если даже адрес пойман на попытке сканирования портов, спуфинге и прочих - мы не можем защитить проброшенный порт фильтрами.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Паранойя, она такая, просто так не отпустит)))
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
Отдельная философская тема для разговора... Но она не без оснований, увы((