DMZ зона

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
IgorGross
Сообщения: 0
Зарегистрирован: 05 дек 2012, 08:27

Доброго дня!
Прошу помочь с организацией dmz -зоны примерно такого вида:
Изображение
Из мана:
http://www.mikrotik.com/testdocs/ros/2.8/appex/dmz.pdf
понял, что нужно присвоить статический ip.
В итоге схему привел к такому виду:
Изображение
Вопрос по фаерволу, ни как не могу понять какие правила необходимо прописать, что бы NAS был доступен через инет?
P.S dyndns настроен на nas'е.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

что то какой то древний ман.
в итоге, что вам надо? просто картинка не укладывается в понятие dmz =) все таки это должно быть что то обособленное.

Вопрос по фаерволу, ни как не могу понять какие правила необходимо прописать, что бы NAS был доступен через инет?

чтобы нас был доступен через внешний интерфейс:
1. на внешний интерфес нужно добавить адрес, который лежит в одной сети с nas
или
2. прописать маршрут к nas через его шлюз.

нарисуйте картинку с адресами, которую вы хотите получить, то что вы нарисовали вообще нужно решать через бридж меду локальным и внешним портом.


IgorGross
Сообщения: 0
Зарегистрирован: 05 дек 2012, 08:27

попросил помочь, но вы меня в тупик поставили)) ща попробую объяснить:
Подключение pppoe (динамический адрес)
1. мне нужно что бы nas (192.168.1.101) имел доступ к сервису dyndns (так же, что бы на нем были доступны все порты)
2. что бы при подключении через интернет попадать на nas, а не страницу роутера (понимаю, что можно решить перенаправлением порта)
3. что бы nas так же был доступен из локальной сети
P.S на старой железке это называлось именно dmz, т.е добавив туда адрес nas он становился доступным (можно было подключится по любому порту: фтп, transmisson)


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

не, ну просто не совсем понятно, как у вас этот nas подключен.
судя по картинке, у вас Комп 1-3 с одной стороны относительно мтика, а этот самый nas где то снаружи, но при этом он лежит в сети этих самых Комп 1-3. вводит в заблуждение.
мне нужно что бы nas (192.168.1.101) имел доступ к сервису dyndns (так же, что бы на нем были доступны все порты)

иметь доступ к сервису это значит иметь доступ в интернет?
входящие или исходящие порты?
2. что бы при подключении через интернет попадать на nas, а не страницу роутера (понимаю, что можно решить перенаправлением порта)

я так понимаю у вас там какой то http сервер?
3. что бы nas так же был доступен из локальной сети

чтобы ответить на него, надо вернуться в начало, и понять, как относительно этой локальной сети подключен nas.
если Вам надо опубликовать ваш сервер в интернете, то например так:

Код: Выделить всё

/ip firewall nat add chain=dstnat in-interface=ВНЕШНИЙ.ИНТЕРФЕЙС action=dst-nat to-addresses=192.168.1.101


IgorGross
Сообщения: 0
Зарегистрирован: 05 дек 2012, 08:27

Добавил 2 правила:

Код: Выделить всё

/ip firewall nat add chain=dstnat in-interface=internet action=dst-nat to-addresses=192.168.1.100
/ip firewall nat add chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=internet

При попытки зайти domain.no-ip.com -страница не найдена (хотя nas пишет, что соединение с no-ip установлено)
конфиг:

Код: Выделить всё

[@MikroTik] /interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave
 #     NAME                               TYPE               MTU L2MTU  MAX-L2MTU
 0  R  ;;; WAN
       ether1-gateway                     ether             1500  1598       4074
 1  R  ;;; LAN
       ether2-master-local                ether             1500  1598       4074
 2  R  ether3                             ether             1500  1598       4074
 3     ether4                             ether             1500  1598       4074
 4     ether5                             ether             1500  1598       4074
 5  R  wlan1                              wlan              1500  2290
 6  R  internet                           pppoe-out         1480
 7  R  bridge-local                       bridge            1500  1598
[@MikroTik] /interface>


Код: Выделить всё

[@MikroTik] /ip address> print 
Flags: X - disabled, I - invalid, D - dynamic
 #   ADDRESS            NETWORK         INTERFACE                               
 0   192.168.1.1/24     192.168.1.0     bridge-local                             
 1 D 213.167.193.132/32 84.53.192.2     internet


Код: Выделить всё

[@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          84.53.192.2               1
 1 ADC  84.53.192.2/32     213.167.193.132 internet                  0
 2 ADC  192.168.1.0/24     192.168.1.1     bridge-local              0
[@MikroTik] /ip route>


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Код: Выделить всё

ip firewall nat print
ip firewall filter print



to-addresses=192.168.1.100 - точно так? у вас на картинках .101


IgorGross
Сообщения: 0
Зарегистрирован: 05 дек 2012, 08:27

Да, настроил ему 192.168.1.100

Код: Выделить всё

[@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
 0   chain=dstnat action=dst-nat to-addresses=192.168.1.100 in-interface=internet

 1   ;;; Added by webbox
     chain=srcnat action=masquerade out-interface=internet

 2   chain=srcnat action=masquerade src-address=192.168.1.0/24
     out-interface=internet

 3 X ;;; Transmission NAS (TCP)
     chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=6881
     protocol=tcp in-interface=internet dst-port=6881

 4 X ;;; Transmission NAS (UPD)
     chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=6881
     protocol=udp in-interface=internet dst-port=6881
[@MikroTik]


Код: Выделить всё

[@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
 0   ;;; Added by webbox
     chain=input action=accept protocol=icmp

 1   ;;; Added by webbox
     chain=input action=accept connection-state=established
     in-interface=internet

 2   ;;; Added by webbox
     chain=input action=accept connection-state=related in-interface=internet

 3   ;;; Added by webbox
     chain=input action=drop in-interface=internet

 4   ;;; Added by webbox
     chain=forward action=jump jump-target=customer in-interface=internet

 5   ;;; Added by webbox
     chain=customer action=accept connection-state=established

 6   ;;; Added by webbox
     chain=customer action=accept connection-state=related

 7   ;;; Added by webbox
     chain=customer action=drop

[@MikroTik] >



Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

/ip firewall filter add place-before=0 chain=forward action=accept


IgorGross
Сообщения: 0
Зарегистрирован: 05 дек 2012, 08:27

Заработало с таким фильтром:

Код: Выделить всё

[@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
 0   ;;; Added by webbox
     chain=input action=accept protocol=icmp

 1   ;;; Added by webbox
     chain=input action=accept connection-state=established
     in-interface=internet

 2   ;;; Added by webbox
     chain=input action=accept connection-state=related in-interface=internet

 3 X ;;; Added by webbox
     chain=input action=drop in-interface=internet

 4   ;;; Added by webbox
     chain=forward action=jump jump-target=customer in-interface=internet

 5   ;;; Added by webbox
     chain=customer action=accept connection-state=established

 6   ;;; Added by webbox
     chain=customer action=accept connection-state=related

 7 X ;;; Added by webbox
     chain=customer action=drop

 8   ;;; IPTV
     chain=input action=accept protocol=udp src-port=5000

 9   ;;; IPTV
     chain=input action=accept protocol=igmp

[@MikroTik] /ip firewall filter>



/ip firewall filter add place-before=0 chain=forward action=accept

Пока не добавлял.


IgorGross
Сообщения: 0
Зарегистрирован: 05 дек 2012, 08:27

Еще одна интересная проблема нарисовалась подключаюсь domain.no-ip.org

Код: Выделить всё

К сожалению, Google Chrome не может открыть страницу domain.no-ip.org:9091

Если же подключение идет через прокси, или с любого другого ip (мобильного телефона, с работы) -страница открывается!
Конфиг немного переделал:

Код: Выделить всё

[@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
 0   chain=forward action=accept

 1   ;;; Added by webbox
     chain=input action=accept protocol=icmp

 2   ;;; Added by webbox
     chain=input action=accept connection-state=established
     in-interface=internet

 3   ;;; Added by webbox
     chain=input action=accept connection-state=related in-interface=internet

 4 X ;;; Added by webbox
     chain=input action=drop in-interface=internet

 5   ;;; Added by webbox
     chain=forward action=jump jump-target=customer in-interface=internet

 6   ;;; Added by webbox
     chain=customer action=accept connection-state=established

 7   ;;; Added by webbox
     chain=customer action=accept connection-state=related

 8 X ;;; Added by webbox
     chain=customer action=drop

[@MikroTik] /ip firewall filter>


Код: Выделить всё

[@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
 0   ;;; Added by webbox
     chain=srcnat action=masquerade out-interface=internet

 1 X ;;; Enable Internet
     chain=dstnat action=dst-nat to-addresses=192.168.1.100
     in-interface=internet

 2   ;;; WinBox Remote
     chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=8291
     protocol=tcp in-interface=internet dst-port=8291

 3   ;;; WinBox Remote
     chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=8291
     protocol=udp in-interface=internet dst-port=8291

 4   ;;; DMZ-NAS
     chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=1-8290
     protocol=tcp in-interface=internet dst-port=1-8290

 5   ;;; DMZ-NAS
     chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=1-8290
     protocol=udp in-interface=internet dst-port=1-8290

 6   ;;; DMZ-NAS
     chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=8292-65535
     protocol=tcp in-interface=internet dst-port=8292-65535

 7   ;;; DMZ-NAS
     chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=8292-65535
     protocol=udp in-interface=internet dst-port=8292-65535

[@MikroTik] /ip firewall nat>

Так же, почему то отказывается работать winbox (удаленно). Хотя порт вроде бы перенаправлен.


Ответить