Проблема с dstnat

Обсуждение оборудования и его настройки
Ответить
cheat
Сообщения: 5
Зарегистрирован: 20 апр 2012, 10:42

Здраствуйте пробую сделать редирект через dstnat
telnet 192.168.0.4 81
Trying 192.168.0.4...
вот такой ответ получаю
chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=80 protocol=tcp dst-address=192.168.0.4 dst-port=81


[admin@localix] /ip firewall> nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address-list=langw

1 X chain=dstnat action=dst-nat to-addresses=172.16.16.1 to-ports=80 protocol=tcp dst-address=192.168.0.1 dst-port=80

2 X chain=dstnat action=dst-nat to-addresses=172.16.16.3 to-ports=3339 protocol=tcp dst-address=95.182.109.235

3 chain=srcnat action=masquerade src-address-list=ulgw

4 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=80 protocol=tcp dst-address=192.168.0.4 dst-port=81



[admin@localix] /ip firewall> filter print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=input action=accept protocol=tcp dst-port=80


[admin@localix] /ip firewall> mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=postrouting action=add-dst-to-address-list protocol=tcp src-address=172.16.16.3 dst-address=95.182.109.235 src-address-list=ulgw address-list=ulgw address-list-timeout=0s

1 chain=prerouting action=mark-routing new-routing-mark=mark-to-isp2 passthrough=yes src-address-list=ulgw

2 chain=prerouting action=mark-routing new-routing-mark=mark-to-isp1 passthrough=yes src-address-list=langw

3 chain=forward action=mark-connection new-connection-mark=to-isp1c passthrough=yes dst-address=!95.182.109.235 src-address-list=langw in-interface=LAN

4 chain=forward action=mark-connection new-connection-mark=to-isp2c passthrough=yes dst-address=192.168.0.4 src-address-list=ulgw in-interface=LAN


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

не понял схему Ваших айпишников по интерфейсам

и есть ли 192.168.0.4 в правилах маскарада и в списке разрешенных IP


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
cheat
Сообщения: 5
Зарегистрирован: 20 апр 2012, 10:42

дело в том что у меня 2 isp один идёт через LAN интерфейс там один через бридж сетка 192.168.0.0/24 другой внешний провайдер по впн. это адрес микротика 192.168.0.4 мне нужно сделать редирект с 192.168.0.4 на 192.168.0.1:80


cheat
Сообщения: 5
Зарегистрирован: 20 апр 2012, 10:42

13 protocol=tcp src-address=192.168.0.1:56654 dst-address=192.168.0.4:81 reply-src-address=192.168.0.1:80 reply-dst-address=192.168.0.1:56654 tcp-state=syn-sent timeout=2s p2p=none


cheat
Сообщения: 5
Зарегистрирован: 20 апр 2012, 10:42

разобрался как перенаправить с 192.168.0.4 на 192.168.0.1 но как перенаправить с внешнего интерфейса 95.182.109.1 на 192.168.0.1 нат правило не работает прежнее почемуто
chain=srcnat action=masquerade src-address=192.168.0.1


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

как то так не пойдёт?

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=9080 protocol=tcp dst-address=95.182.109.1 dst-port=9080 

соответственно, если все надо, то порты убрать.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Если у Вас несколько провайдеров - то для правильного Ната надо манглом помечать направление источкиков

то есть чтоб роутер помнил, с какого интерфейса пришел запрос и через какой интерфейс на него отвечать

посмотите статью http://mikrotik.axiom-pro.ru/scripts/balancerv1.php


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
cheat
Сообщения: 5
Зарегистрирован: 20 апр 2012, 10:42

появилась ещё одна проблема как пробросить ип с динамикой) т.е на айдеко можно было так dst-address=0.0.0.0/0 in-interface=pppoe-out


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

по идее также - используя Ин Интерфейс


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
PavelSES
Сообщения: 48
Зарегистрирован: 13 сен 2011, 08:30

cheat писал(а):появилась ещё одна проблема как пробросить ип с динамикой) т.е на айдеко можно было так dst-address=0.0.0.0/0 in-interface=pppoe-out

еще проще - просто не заполняешь dst-address :)
Изображение
но при этом маркировка пакетов как говорилось выше должна быть настроена, чтоб роутер знал куда ответ отправлять


Ответить