Проброшенные порты... (лыжи не едут)

Обсуждение ПО и его настройки
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Что интересно, если правило сделать
/ip firewall raw
add action=accept chain=prerouting dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp

то правило работает(((


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Создается впечатление, что вы или форум читаете через строчку, или игнорируете часть сообщений, в данном случае мои. Ну или третий вариант, вы ждали пока вам прям готовые строки напишут, как сейчас я.

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward dst-address=ХХ.ХХ.ХХ.146 dst-port=22 protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp to-addresses=192.168.0.195 to-ports=22
Последний раз редактировалось KARaS'b 15 ноя 2016, 14:53, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) Вот с курсов (это слегка упрощенная таблица)
http://www.mikrotik-trainings.com/docs/ ... outing.jpg

2) Попробуйте вместо dst-nat в поле Action - поставить netmap, мож иначе поведёт себя роутер...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

KARaS'b писал(а):Создается впечатление, что вы или форум читаете через строчку, или игнорируете часть сообщений, в данном случае мои. Ну или третий вариант, вы ждали пока вам прям готовые строки напишут, как сейчас я.

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward dst-address=ХХ.ХХ.ХХ.146 dst-port=22 protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp to-addresses=192.168.0.195 to-ports=22


Дык я же ответил - не работает так... и не логично это в любом случае... Представим что у нас есть куча проброшенных 22-ых портов... ;)
В любом случае dmx ответил на вопрос - правила проброса срабатывают раньше, чем правило фильтров... так что фильтрами мы тут ничего не сделаем.....
Можете поэксперементировать даже - берём любой проброшенный порт и пробуем "загасить" его фильтром. Удивляемся и думаем что тут не так...
В общем выход таков - проброшенные порты можно "рубить" через raw правила.. И только так


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Vlad-2 писал(а):1) Вот с курсов (это слегка упрощенная таблица)
http://www.mikrotik-trainings.com/docs/ ... outing.jpg

2) Попробуйте вместо dst-nat в поле Action - поставить netmap, мож иначе поведёт себя роутер...


Спасибо большущее за схему...!!! :ya_hoo_oo: Всё встало на свои месте
netmap ставил... толку естественно ноль)), но благодаря схеме понятно почему


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Из всего этого одно не могу понять: если порт проброшен, зачем его еще и фильтрами-то "гасить"??? Мы ведь пробрасывали его, чтобы работало, а пытаемся сделать обратное.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

EdkiyGluk писал(а):
KARaS'b писал(а):Создается впечатление, что вы или форум читаете через строчку, или игнорируете часть сообщений, в данном случае мои. Ну или третий вариант, вы ждали пока вам прям готовые строки напишут, как сейчас я.

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward dst-address=ХХ.ХХ.ХХ.146 dst-port=22 protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp to-addresses=192.168.0.195 to-ports=22


Дык я же ответил - не работает так... и не логично это в любом случае... Представим что у нас есть куча проброшенных 22-ых портов... ;)
В любом случае dmx ответил на вопрос - правила проброса срабатывают раньше, чем правило фильтров... так что фильтрами мы тут ничего не сделаем.....
Можете поэксперементировать даже - берём любой проброшенный порт и пробуем "загасить" его фильтром. Удивляемся и думаем что тут не так...
В общем выход таков - проброшенные порты можно "рубить" через raw правила.. И только так

Извиняюсь, не вник до конца, думал пробросить пытаетесь.
Но тогда присоединяюсь к товарищу gmx, зачем блокировать то, что вы пробросили? :hi_hi_hi:


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Защита проброшенных портов от кулхацкеров. Ибо если даже адрес пойман на попытке сканирования портов, спуфинге и прочих - мы не можем защитить проброшенный порт фильтрами.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Паранойя, она такая, просто так не отпустит)))


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Отдельная философская тема для разговора... Но она не без оснований, увы((


Ответить