Страница 1 из 1
уменьшить бы количество правил ( может можно вычислять) ?
Добавлено: 02 апр 2018, 17:11
anad
внутреняя сеть, где аж 100 на девайсов надо сделать проброс к порту 80.
сейчас это было сделано кучей правил, которые генерились примерно так:
for ip in `seq 150 250` ; do echo "add action=dst-nat chain=dstnat dst-port=55$ip protocol=tcp to-addresses=192.168.200.$ip to-ports=80" ; done
и результат ( который вполне устраивает) вкинут через SSH, но может быть можно эту портянку как-то уменьшить ?
Re: уменьшить бы количество правил ( может можно вычислять) ?
Добавлено: 02 апр 2018, 23:11
Vlad-2
почитайте о netmap действии, обычно во многих инструкциях на просторах
интернета netmap использует для dst-nat, хотя для dst-nat есть именно dstnat,
а netmap - создан для более широкого действия и в нём вроде на сколько я помню
можно указывать сразу подсети(пулы), возможно что одним-двумя правилами Вы
замените все те, что есть у Вас сейчас.
Ссылка на Вики -
https://wiki.mikrotik.com/wiki/Manual:I ... :1_mapping
Re: уменьшить бы количество правил ( может можно вычислять) ?
Добавлено: 03 апр 2018, 02:10
anad
anad писал(а): ↑02 апр 2018, 17:11
внутреняя сеть, где аж 100 на девайсов надо сделать проброс к порту 80.
сейчас это было сделано кучей правил, которые генерились примерно так:
for ip in `seq 150 250` ; do echo "add action=dst-nat chain=dstnat dst-port=55$ip protocol=tcp to-addresses=192.168.200.$ip to-ports=80" ; done
и результат ( который вполне устраивает) вкинут через SSH, но может быть можно эту портянку как-то уменьшить ?
ну netmap он совсем не dst-nat ( если этого не понимать ждет сюрприз в логах сервисов) и может работать с в обоих цепочках нат , так как меняет SRC или DST в пакетах ( соотв туда и обратно) .. , сеть в сеть им можно, а вот port в IP не видел и не нашел с ходу в вики , но надо почитать еще и не ночью, пример который там есть это просто генерация правил таких же микротиком, а не bash.
P.S. ничего страшного в портянке нет, но .. неаккуратно как-то.