Вопрос по dst-nat

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
WhiteWolf
Сообщения: 55
Зарегистрирован: 15 сен 2015, 09:10
Откуда: НСК

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=4515 in-interface=ether1 protocol=tcp to-ports=4515

Будет ли работать? И если будет то в каких случаях используется?
Я всегда предполагал, что при пробросе порта нужен адрес получателя, а в этом правиле он пропущен. При этом микротик его воспринимает спокойно. Но куда тогда будет отправлен пакет?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Логирование воткнуть и понятно будет чего там происходит


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

У себя попробовал, судя по логам никакого практического действия данное правило не выполняет )))


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
WhiteWolf
Сообщения: 55
Зарегистрирован: 15 сен 2015, 09:10
Откуда: НСК

Ну я тут тоже поэкспериментировал.
Правда пришлось проводить опыты на вайфай бридже, который до понедельника точно никто использовать не будет и к которому у меня есть доступ в любое время. Но так как все клиенты ушли до понедельника, пришлось тестировать только на этой паре микротиков. Первый подключен к интернету и натит, второй просто бриджем между вайфай и эзернетом

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=8045 in-interface=ether1 log=yes log-prefix=dst-nat8045port protocol=tcp to-ports=8291

Запускаем винбокс с указанием IP:8045 и... попадаем на первый микротик. Т.е. правило привело к порту 8291 самого маршрутизатора.
В логах есть запись о срабатывании правила, но по логам результата нет. По этому не могу понять правило просто ничего не делает, или всетаки пробрасывает порт на себя, но уже за натом?


seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

Скорее попадете на хост, где будет этот порт слушаться


Обладатель Mikrotik RB2011UAS-2HnD-IN
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

seregaelcin писал(а):Скорее попадете на хост, где будет этот порт слушаться

это как ? )))


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
WhiteWolf
Сообщения: 55
Зарегистрирован: 15 сен 2015, 09:10
Откуда: НСК

Продолжение экспериментов:
конфигурация сети:
Микротик1 - rb2011 подключен первым эзернетом к провайдеру, остальные собраны в бридж. на бридже IP 192.168.1.1
Микротик2 и Микротик3 - rb951 все эзернеты и вайфай собраны в бридж, на бридже IP 192.168.1.11 и 192.168.1.12 соответственно
У всех открыт доступ к сервису винбокса по порту 8291 на всех интерфейсах

На Микротик1 добавляем правило:

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=8045 in-interface=ether1 log=yes log-prefix=dst-nat8045port protocol=tcp to-ports=8291
Запускаем винбокс с указанием IP:8045 попадаем на Микротик1
Меняем на Микротик1 порт для сервиса винбокса на 8292, запускаем винбокс с указанием IP:8045 и не попадаем никуда. Т.е. Даже имея в локальной сети Микротик2 и Микротик3 которые слушают порт 8291, входящий пакет до них не доходит.
Если в правиле заменить action=dst-nat на action=netmap то происходит тоже самое. Если на Микротик1 порт 8291 открыт, то попадаем не него, иначе никуда.

Ну и на последок два интересных момента про netmap

1. При добавлении правила с отсутствующим IP назначения у микротика слегка сносит крышу. Статистика по всем правилам НАТ показывает, что мы скачали весь интернет а количество пакетов по некоторым становится отрицательным :sh_ok:
2. Если в правиле указать to-addresses=192.168.1.11 и потом удалить этот параметр, то правило все равно будет срабатывать и будем попадать на Микротик2 даже если на первом порт 8291 открыт (естественно все соединения перед проверкой удалялись) Правило срабатыват даже через 10 часов после удаления адреса назначения (возможно до перезагрузки) :nez-nayu:


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Запускаем винбокс с указанием IP:8045 попадаем на Микротик1
Меняем на Микротик1 порт для сервиса винбокса на 8292, запускаем винбокс с указанием IP:8045 и не попадаем никуда. Т.е. Даже имея в локальной сети Микротик2 и Микротик3 которые слушают порт 8291, входящий пакет до них не доходит.
Если в правиле заменить action=dst-nat на action=netmap то происходит тоже самое. Если на Микротик1 порт 8291 открыт, то попадаем не него, иначе никуда.



Ну так то же ожидаемо.

Я вот только понять не могу как у вас в голове складывается цепочка позволяющая сделать заключение что подобное правило само прокинет трафик до железки которые смотрит этим портом в сеть?

То что вы попадаете в винбокс непосредственно на микротике где это правило - это вполне объяснимо, а вот дальше...


Есть интересная задача и бюджет? http://mikrotik.site
Ответить