Подмена IP адреса

Обсуждение оборудования и его настройки
Ответить
DenNC
Сообщения: 4
Зарегистрирован: 04 апр 2018, 11:00

Здравствуйте. Прошу вашей помощи.

Внутри сети 192.168.0.0/24 находятся работники, которые подключаются к серверу в интернете 132.132.132.132 (rdp, ftp и т.д.). Чтобы никто не догадался и не знал о существовании сервера по такому IP хочу всем сказать, чтобы IP сервера поменяли с 132.132.132.132 на 192.168.0.255, а микротик настроить, что если кто то обращается к 192.168.0.255, то перенаправлять его на 132.132.132.132. Однако микротик настроить так и не получилось. Помогите, пожалуйста.

Mikrotik RouterBOARD 951Ui-2HnD. 1 порт как WAN, 2-5 - локальные.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Есть небольшое но, если 192.168.0.255 относится к вашей сети, то у вас ничего не выйдет, т.к. компьютеры при обращении к такому адресу увидят, что данный адрес "покрывается" маской и будут пытаться обратиться к нему напрямую, а не получив ответа, законно решат, что данный хост недоступен и даже не будут пытаться обратиться к маршрутизатору.
Исходя из этого, адрес нужно брать не из сети\сетей имеющихся в вашем распоряжении. Допустим что сеть у вас одна и она 192.168.0.0/24, тогда мы можем взять например такой "псевдоадрес" - 192.168.1.1 и тогда правило необходимое вам будет выглядеть так

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=192.168.1.1 to-addresses=132.132.132.132


Xramovnik
Сообщения: 21
Зарегистрирован: 04 апр 2018, 18:19

192.168.0.255 - как бы широковещательный адрес подсети. С ним точно ничего не выйдет.
Дайте бриджу на котором сидит локалка еще один адрес из другой подсети серой, пропишите его у клиентов и настройте уже редирект постом выше

Код: Выделить всё

ip firewall nat \
    add action=dst-nat chain=dstnat dst-address=192.168.55.22 dst-port=21,22,3389 \
    in-interface=BR_LAN protocol=tcp src-address=192.168.0.0/24 to-addresses=\
    8.8.8.8
192.168.55.22 - адрес, который висит вторым на бридже локалки


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Xramovnik писал(а): 06 апр 2018, 14:27 Дайте бриджу на котором сидит локалка еще один адрес из другой подсети серой, пропишите его у клиентов и настройте уже редирект постом выше
192.168.55.22 - адрес, который висит вторым на бридже локалки
Это совершенно не обязательно, адрес может не существовать на микротике вообще, главное это вынудить компьютер обратиться к маршрутизатору по адресу который компьютер самостоятельно достигнуть не может, а дальше микротик увидит и обработает такой запрос в соответствии с правилами, даже если этого адреса на самом микротике нет.


DenNC
Сообщения: 4
Зарегистрирован: 04 апр 2018, 11:00

KARaS'b писал(а): 04 апр 2018, 16:44 Есть небольшое но, если 192.168.0.255 относится к вашей сети, то у вас ничего не выйдет, т.к. компьютеры при обращении к такому адресу увидят, что данный адрес "покрывается" маской и будут пытаться обратиться к нему напрямую, а не получив ответа, законно решат, что данный хост недоступен и даже не будут пытаться обратиться к маршрутизатору.
Исходя из этого, адрес нужно брать не из сети\сетей имеющихся в вашем распоряжении. Допустим что сеть у вас одна и она 192.168.0.0/24, тогда мы можем взять например такой "псевдоадрес" - 192.168.1.1 и тогда правило необходимое вам будет выглядеть так

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=192.168.1.1 to-addresses=132.132.132.132
Спасибо вам большое, воспользовался данным правилом и всё работает так, как я и задумал.


Ответить