Страница 1 из 2
DMZ зона
Добавлено: 05 дек 2012, 08:54
IgorGross
Доброго дня!
Прошу помочь с организацией dmz -зоны примерно такого вида:
Из мана:
http://www.mikrotik.com/testdocs/ros/2.8/appex/dmz.pdfпонял, что нужно присвоить статический ip.
В итоге схему привел к такому виду:
Вопрос по фаерволу, ни как не могу понять какие правила необходимо прописать, что бы NAS был доступен через инет?
P.S dyndns настроен на nas'е.
Re: DMZ зона
Добавлено: 05 дек 2012, 09:10
simpl3x
что то какой то древний ман.
в итоге, что вам надо? просто картинка не укладывается в понятие dmz =) все таки это должно быть что то обособленное.
Вопрос по фаерволу, ни как не могу понять какие правила необходимо прописать, что бы NAS был доступен через инет?
чтобы нас был доступен через внешний интерфейс:
1. на внешний интерфес нужно добавить адрес, который лежит в одной сети с nas
или
2. прописать маршрут к nas через его шлюз.
нарисуйте картинку с адресами, которую вы хотите получить, то что вы нарисовали вообще нужно решать через бридж меду локальным и внешним портом.
Re: DMZ зона
Добавлено: 05 дек 2012, 10:18
IgorGross
попросил помочь, но вы меня в тупик поставили)) ща попробую объяснить:
Подключение pppoe (динамический адрес)
1. мне нужно что бы nas (192.168.1.101) имел доступ к сервису dyndns (так же, что бы на нем были доступны все порты)
2. что бы при подключении через интернет попадать на nas, а не страницу роутера (понимаю, что можно решить перенаправлением порта)
3. что бы nas так же был доступен из локальной сети
P.S на старой железке это называлось именно dmz, т.е добавив туда адрес nas он становился доступным (можно было подключится по любому порту: фтп, transmisson)
Re: DMZ зона
Добавлено: 05 дек 2012, 11:20
simpl3x
не, ну просто не совсем понятно, как у вас этот nas подключен.
судя по картинке, у вас Комп 1-3 с одной стороны относительно мтика, а этот самый nas где то снаружи, но при этом он лежит в сети этих самых Комп 1-3. вводит в заблуждение.
мне нужно что бы nas (192.168.1.101) имел доступ к сервису dyndns (так же, что бы на нем были доступны все порты)
иметь доступ к сервису это значит иметь доступ в интернет?
входящие или исходящие порты?
2. что бы при подключении через интернет попадать на nas, а не страницу роутера (понимаю, что можно решить перенаправлением порта)
я так понимаю у вас там какой то http сервер?
3. что бы nas так же был доступен из локальной сети
чтобы ответить на него, надо вернуться в начало, и понять, как относительно этой локальной сети подключен nas.
если Вам надо опубликовать ваш сервер в интернете, то например так:
Код: Выделить всё
/ip firewall nat add chain=dstnat in-interface=ВНЕШНИЙ.ИНТЕРФЕЙС action=dst-nat to-addresses=192.168.1.101
Re: DMZ зона
Добавлено: 05 дек 2012, 17:35
IgorGross
Добавил 2 правила:
Код: Выделить всё
/ip firewall nat add chain=dstnat in-interface=internet action=dst-nat to-addresses=192.168.1.100
/ip firewall nat add chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=internet
При попытки зайти domain.no-ip.com -страница не найдена (хотя nas пишет, что соединение с no-ip установлено)
конфиг:
Код: Выделить всё
[@MikroTik] /interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 R ;;; WAN
ether1-gateway ether 1500 1598 4074
1 R ;;; LAN
ether2-master-local ether 1500 1598 4074
2 R ether3 ether 1500 1598 4074
3 ether4 ether 1500 1598 4074
4 ether5 ether 1500 1598 4074
5 R wlan1 wlan 1500 2290
6 R internet pppoe-out 1480
7 R bridge-local bridge 1500 1598
[@MikroTik] /interface>
Код: Выделить всё
[@MikroTik] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.1.1/24 192.168.1.0 bridge-local
1 D 213.167.193.132/32 84.53.192.2 internet
Код: Выделить всё
[@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 84.53.192.2 1
1 ADC 84.53.192.2/32 213.167.193.132 internet 0
2 ADC 192.168.1.0/24 192.168.1.1 bridge-local 0
[@MikroTik] /ip route>
Re: DMZ зона
Добавлено: 05 дек 2012, 17:51
simpl3x
Код: Выделить всё
ip firewall nat print
ip firewall filter print
- точно так? у вас на картинках .101
Re: DMZ зона
Добавлено: 05 дек 2012, 18:04
IgorGross
Да, настроил ему 192.168.1.100
Код: Выделить всё
[@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=dst-nat to-addresses=192.168.1.100 in-interface=internet
1 ;;; Added by webbox
chain=srcnat action=masquerade out-interface=internet
2 chain=srcnat action=masquerade src-address=192.168.1.0/24
out-interface=internet
3 X ;;; Transmission NAS (TCP)
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=6881
protocol=tcp in-interface=internet dst-port=6881
4 X ;;; Transmission NAS (UPD)
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=6881
protocol=udp in-interface=internet dst-port=6881
[@MikroTik]
Код: Выделить всё
[@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Added by webbox
chain=input action=accept protocol=icmp
1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=internet
2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=internet
3 ;;; Added by webbox
chain=input action=drop in-interface=internet
4 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=internet
5 ;;; Added by webbox
chain=customer action=accept connection-state=established
6 ;;; Added by webbox
chain=customer action=accept connection-state=related
7 ;;; Added by webbox
chain=customer action=drop
[@MikroTik] >
Re: DMZ зона
Добавлено: 06 дек 2012, 12:01
simpl3x
/ip firewall filter add place-before=0 chain=forward action=accept
Re: DMZ зона
Добавлено: 06 дек 2012, 13:21
IgorGross
Заработало с таким фильтром:
Код: Выделить всё
[@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Added by webbox
chain=input action=accept protocol=icmp
1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=internet
2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=internet
3 X ;;; Added by webbox
chain=input action=drop in-interface=internet
4 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=internet
5 ;;; Added by webbox
chain=customer action=accept connection-state=established
6 ;;; Added by webbox
chain=customer action=accept connection-state=related
7 X ;;; Added by webbox
chain=customer action=drop
8 ;;; IPTV
chain=input action=accept protocol=udp src-port=5000
9 ;;; IPTV
chain=input action=accept protocol=igmp
[@MikroTik] /ip firewall filter>
/ip firewall filter add place-before=0 chain=forward action=accept
Пока не добавлял.
Re: DMZ зона
Добавлено: 06 дек 2012, 20:34
IgorGross
Еще одна интересная проблема нарисовалась подключаюсь domain.no-ip.org
Код: Выделить всё
К сожалению, Google Chrome не может открыть страницу domain.no-ip.org:9091
Если же подключение идет через прокси, или с любого другого ip (мобильного телефона, с работы) -страница открывается!
Конфиг немного переделал:
Код: Выделить всё
[@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept
1 ;;; Added by webbox
chain=input action=accept protocol=icmp
2 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=internet
3 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=internet
4 X ;;; Added by webbox
chain=input action=drop in-interface=internet
5 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=internet
6 ;;; Added by webbox
chain=customer action=accept connection-state=established
7 ;;; Added by webbox
chain=customer action=accept connection-state=related
8 X ;;; Added by webbox
chain=customer action=drop
[@MikroTik] /ip firewall filter>
Код: Выделить всё
[@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Added by webbox
chain=srcnat action=masquerade out-interface=internet
1 X ;;; Enable Internet
chain=dstnat action=dst-nat to-addresses=192.168.1.100
in-interface=internet
2 ;;; WinBox Remote
chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=8291
protocol=tcp in-interface=internet dst-port=8291
3 ;;; WinBox Remote
chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=8291
protocol=udp in-interface=internet dst-port=8291
4 ;;; DMZ-NAS
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=1-8290
protocol=tcp in-interface=internet dst-port=1-8290
5 ;;; DMZ-NAS
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=1-8290
protocol=udp in-interface=internet dst-port=1-8290
6 ;;; DMZ-NAS
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=8292-65535
protocol=tcp in-interface=internet dst-port=8292-65535
7 ;;; DMZ-NAS
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=8292-65535
protocol=udp in-interface=internet dst-port=8292-65535
[@MikroTik] /ip firewall nat>
Так же, почему то отказывается работать winbox (удаленно). Хотя порт вроде бы перенаправлен.