NAT не скрывает ip локальной сети

Обсуждение ПО и его настройки
Ответить
skyscorp2012
Сообщения: 3
Зарегистрирован: 24 авг 2012, 17:56

добрый день!

немного непойму, раньше использовал линукс как файрвол и со скрытием айпи локалки проблем не было. Но в документации к микротику, все используют маскардинг.
Но с ним одна проблема он не скрывает айпи локальной сетки, заметил при простом заходе хоть в яндекс, хоть спидтест.нет, веб ресурсы выдали айпи локальной машины.
Что конечно меня не сильно радует.
Сейчас у меня поднят hotspot, и правила в НАТ он сам запихал, что можно подкрутить, чтобы изменить ситуацию?
( chain srcnat=192.169.0.0/23 и актион стоит маскардинг ну и внешний интерфейс выбран понятно порт сетевой, что смотрит наружу)


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

покажите ip firewall export compact

и скрин покажите


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
skyscorp2012
Сообщения: 3
Зарегистрирован: 24 авг 2012, 17:56

iSupport писал(а):покажите ip firewall export compact

и скрин покажите

уезжал, не было возможности отписать.
прикрепил результат экспорта. что странно и по докам должен работать компакт, но ругается на первую букву слова..compact :(

# feb/06/2012 17:20:47 by RouterOS 5.5
# software id = CQGW-PV6T
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
tcp-close-wait-timeout=10s tcp-established-timeout=1d \
tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \
tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=no
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=no
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
disabled=no out-interface=inet src-address=192.169.10.0/23
add action=redirect chain=dstnat disabled=no dst-port=8080 protocol=tcp \
to-ports=3128
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061
set pptp disabled=no


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

У вас в какой подсети хотспот???

192.168.х.х ???

А в правиле 192.169.х.х

Будьте внимательнее!


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
skyscorp2012
Сообщения: 3
Зарегистрирован: 24 авг 2012, 17:56

iSupport писал(а):У вас в какой подсети хотспот???

192.168.х.х ???

А в правиле 192.169.х.х

Будьте внимательнее!

# jan/02/1970 04:01:24 by RouterOS 5.5
# software id = CQGW-PV6T
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
tcp-close-wait-timeout=10s tcp-established-timeout=1d \
tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \
tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=return chain=input disabled=no dst-address=0.0.0.0 protocol=icmp \
src-address=0.0.0.0
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
disabled=no src-address=192.169.10.0/23
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061
set pptp disabled=no
+++++++++++++++++++++++++++

ммм я прикрепил наверно не то в прошлый раз, вот то что сейчас.
HS на 192.169.х.х
клиент там же, все работает. НО
к примеру взять яндекс метер он показывает как внешний айпи линуксового шлюза моего, а мой айпи 192.169.10.20
выглядит это так -
мой IP 192.....20
внешний IP 89......69

стоит заметить, что если я выхожу через из подсетки которая идет на прямую через шлюз линуксовый, таких проблем нет, виден только внешний айпи

на форуме испотльзовались правила типо таких

6 ;;; Allow all for all (in)
chain=forward action=accept dst-address=192.168.0.0/24

7 ;;; Allow all for all (out)
chain=forward action=accept src-address=192.168.0.0/24

может заменит маскард на них?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

попробуйте.

при верной настройке ната все скрывается корректно.

Хотя в НТТР можно вытащить реальный ип компа


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
dark
Сообщения: 1
Зарегистрирован: 25 сен 2012, 18:14

Автор, яндекс наврятли выдерает ip вашего компа, который находится за натом на пакетном уровне, скорей всего у провайдера стоит прокси (или у вас), который и выдает заголовки яндексу чт вы за натом. Вобщем НАТ тут не при чем.


Ответить