Здравствуйте. Прошу вашей помощи.
Внутри сети 192.168.0.0/24 находятся работники, которые подключаются к серверу в интернете 132.132.132.132 (rdp, ftp и т.д.). Чтобы никто не догадался и не знал о существовании сервера по такому IP хочу всем сказать, чтобы IP сервера поменяли с 132.132.132.132 на 192.168.0.255, а микротик настроить, что если кто то обращается к 192.168.0.255, то перенаправлять его на 132.132.132.132. Однако микротик настроить так и не получилось. Помогите, пожалуйста.
Mikrotik RouterBOARD 951Ui-2HnD. 1 порт как WAN, 2-5 - локальные.
Подмена IP адреса
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Есть небольшое но, если 192.168.0.255 относится к вашей сети, то у вас ничего не выйдет, т.к. компьютеры при обращении к такому адресу увидят, что данный адрес "покрывается" маской и будут пытаться обратиться к нему напрямую, а не получив ответа, законно решат, что данный хост недоступен и даже не будут пытаться обратиться к маршрутизатору.
Исходя из этого, адрес нужно брать не из сети\сетей имеющихся в вашем распоряжении. Допустим что сеть у вас одна и она 192.168.0.0/24, тогда мы можем взять например такой "псевдоадрес" - 192.168.1.1 и тогда правило необходимое вам будет выглядеть так
Исходя из этого, адрес нужно брать не из сети\сетей имеющихся в вашем распоряжении. Допустим что сеть у вас одна и она 192.168.0.0/24, тогда мы можем взять например такой "псевдоадрес" - 192.168.1.1 и тогда правило необходимое вам будет выглядеть так
Код: Выделить всё
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=192.168.1.1 to-addresses=132.132.132.132
-
- Сообщения: 21
- Зарегистрирован: 04 апр 2018, 18:19
192.168.0.255 - как бы широковещательный адрес подсети. С ним точно ничего не выйдет.
Дайте бриджу на котором сидит локалка еще один адрес из другой подсети серой, пропишите его у клиентов и настройте уже редирект постом выше
192.168.55.22 - адрес, который висит вторым на бридже локалки
Дайте бриджу на котором сидит локалка еще один адрес из другой подсети серой, пропишите его у клиентов и настройте уже редирект постом выше
Код: Выделить всё
ip firewall nat \
add action=dst-nat chain=dstnat dst-address=192.168.55.22 dst-port=21,22,3389 \
in-interface=BR_LAN protocol=tcp src-address=192.168.0.0/24 to-addresses=\
8.8.8.8
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Это совершенно не обязательно, адрес может не существовать на микротике вообще, главное это вынудить компьютер обратиться к маршрутизатору по адресу который компьютер самостоятельно достигнуть не может, а дальше микротик увидит и обработает такой запрос в соответствии с правилами, даже если этого адреса на самом микротике нет.
-
- Сообщения: 4
- Зарегистрирован: 04 апр 2018, 11:00
Спасибо вам большое, воспользовался данным правилом и всё работает так, как я и задумал.KARaS'b писал(а): ↑04 апр 2018, 16:44 Есть небольшое но, если 192.168.0.255 относится к вашей сети, то у вас ничего не выйдет, т.к. компьютеры при обращении к такому адресу увидят, что данный адрес "покрывается" маской и будут пытаться обратиться к нему напрямую, а не получив ответа, законно решат, что данный хост недоступен и даже не будут пытаться обратиться к маршрутизатору.
Исходя из этого, адрес нужно брать не из сети\сетей имеющихся в вашем распоряжении. Допустим что сеть у вас одна и она 192.168.0.0/24, тогда мы можем взять например такой "псевдоадрес" - 192.168.1.1 и тогда правило необходимое вам будет выглядеть такКод: Выделить всё
/ip firewall nat add action=dst-nat chain=dstnat dst-address=192.168.1.1 to-addresses=132.132.132.132