Доброго дня!
Прошу помочь с организацией dmz -зоны примерно такого вида:
Из мана:
http://www.mikrotik.com/testdocs/ros/2.8/appex/dmz.pdf
понял, что нужно присвоить статический ip.
В итоге схему привел к такому виду:
Вопрос по фаерволу, ни как не могу понять какие правила необходимо прописать, что бы NAS был доступен через инет?
P.S dyndns настроен на nas'е.
DMZ зона
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
что то какой то древний ман.
в итоге, что вам надо? просто картинка не укладывается в понятие dmz =) все таки это должно быть что то обособленное.
чтобы нас был доступен через внешний интерфейс:
1. на внешний интерфес нужно добавить адрес, который лежит в одной сети с nas
или
2. прописать маршрут к nas через его шлюз.
нарисуйте картинку с адресами, которую вы хотите получить, то что вы нарисовали вообще нужно решать через бридж меду локальным и внешним портом.
в итоге, что вам надо? просто картинка не укладывается в понятие dmz =) все таки это должно быть что то обособленное.
Вопрос по фаерволу, ни как не могу понять какие правила необходимо прописать, что бы NAS был доступен через инет?
чтобы нас был доступен через внешний интерфейс:
1. на внешний интерфес нужно добавить адрес, который лежит в одной сети с nas
или
2. прописать маршрут к nas через его шлюз.
нарисуйте картинку с адресами, которую вы хотите получить, то что вы нарисовали вообще нужно решать через бридж меду локальным и внешним портом.
-
- Сообщения: 0
- Зарегистрирован: 05 дек 2012, 08:27
попросил помочь, но вы меня в тупик поставили)) ща попробую объяснить:
Подключение pppoe (динамический адрес)
1. мне нужно что бы nas (192.168.1.101) имел доступ к сервису dyndns (так же, что бы на нем были доступны все порты)
2. что бы при подключении через интернет попадать на nas, а не страницу роутера (понимаю, что можно решить перенаправлением порта)
3. что бы nas так же был доступен из локальной сети
P.S на старой железке это называлось именно dmz, т.е добавив туда адрес nas он становился доступным (можно было подключится по любому порту: фтп, transmisson)
Подключение pppoe (динамический адрес)
1. мне нужно что бы nas (192.168.1.101) имел доступ к сервису dyndns (так же, что бы на нем были доступны все порты)
2. что бы при подключении через интернет попадать на nas, а не страницу роутера (понимаю, что можно решить перенаправлением порта)
3. что бы nas так же был доступен из локальной сети
P.S на старой железке это называлось именно dmz, т.е добавив туда адрес nas он становился доступным (можно было подключится по любому порту: фтп, transmisson)
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
не, ну просто не совсем понятно, как у вас этот nas подключен.
судя по картинке, у вас Комп 1-3 с одной стороны относительно мтика, а этот самый nas где то снаружи, но при этом он лежит в сети этих самых Комп 1-3. вводит в заблуждение.
иметь доступ к сервису это значит иметь доступ в интернет?
входящие или исходящие порты?
я так понимаю у вас там какой то http сервер?
чтобы ответить на него, надо вернуться в начало, и понять, как относительно этой локальной сети подключен nas.
если Вам надо опубликовать ваш сервер в интернете, то например так:
судя по картинке, у вас Комп 1-3 с одной стороны относительно мтика, а этот самый nas где то снаружи, но при этом он лежит в сети этих самых Комп 1-3. вводит в заблуждение.
мне нужно что бы nas (192.168.1.101) имел доступ к сервису dyndns (так же, что бы на нем были доступны все порты)
иметь доступ к сервису это значит иметь доступ в интернет?
входящие или исходящие порты?
2. что бы при подключении через интернет попадать на nas, а не страницу роутера (понимаю, что можно решить перенаправлением порта)
я так понимаю у вас там какой то http сервер?
3. что бы nas так же был доступен из локальной сети
чтобы ответить на него, надо вернуться в начало, и понять, как относительно этой локальной сети подключен nas.
если Вам надо опубликовать ваш сервер в интернете, то например так:
Код: Выделить всё
/ip firewall nat add chain=dstnat in-interface=ВНЕШНИЙ.ИНТЕРФЕЙС action=dst-nat to-addresses=192.168.1.101
-
- Сообщения: 0
- Зарегистрирован: 05 дек 2012, 08:27
Добавил 2 правила:
При попытки зайти domain.no-ip.com -страница не найдена (хотя nas пишет, что соединение с no-ip установлено)
конфиг:
Код: Выделить всё
/ip firewall nat add chain=dstnat in-interface=internet action=dst-nat to-addresses=192.168.1.100
/ip firewall nat add chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=internet
При попытки зайти domain.no-ip.com -страница не найдена (хотя nas пишет, что соединение с no-ip установлено)
конфиг:
Код: Выделить всё
[@MikroTik] /interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 R ;;; WAN
ether1-gateway ether 1500 1598 4074
1 R ;;; LAN
ether2-master-local ether 1500 1598 4074
2 R ether3 ether 1500 1598 4074
3 ether4 ether 1500 1598 4074
4 ether5 ether 1500 1598 4074
5 R wlan1 wlan 1500 2290
6 R internet pppoe-out 1480
7 R bridge-local bridge 1500 1598
[@MikroTik] /interface>
Код: Выделить всё
[@MikroTik] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.1.1/24 192.168.1.0 bridge-local
1 D 213.167.193.132/32 84.53.192.2 internet
Код: Выделить всё
[@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 84.53.192.2 1
1 ADC 84.53.192.2/32 213.167.193.132 internet 0
2 ADC 192.168.1.0/24 192.168.1.1 bridge-local 0
[@MikroTik] /ip route>
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Код: Выделить всё
ip firewall nat print
ip firewall filter print
to-addresses=192.168.1.100 - точно так? у вас на картинках .101
-
- Сообщения: 0
- Зарегистрирован: 05 дек 2012, 08:27
Да, настроил ему 192.168.1.100
Код: Выделить всё
[@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=dst-nat to-addresses=192.168.1.100 in-interface=internet
1 ;;; Added by webbox
chain=srcnat action=masquerade out-interface=internet
2 chain=srcnat action=masquerade src-address=192.168.1.0/24
out-interface=internet
3 X ;;; Transmission NAS (TCP)
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=6881
protocol=tcp in-interface=internet dst-port=6881
4 X ;;; Transmission NAS (UPD)
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=6881
protocol=udp in-interface=internet dst-port=6881
[@MikroTik]
Код: Выделить всё
[@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Added by webbox
chain=input action=accept protocol=icmp
1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=internet
2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=internet
3 ;;; Added by webbox
chain=input action=drop in-interface=internet
4 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=internet
5 ;;; Added by webbox
chain=customer action=accept connection-state=established
6 ;;; Added by webbox
chain=customer action=accept connection-state=related
7 ;;; Added by webbox
chain=customer action=drop
[@MikroTik] >
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
-
- Сообщения: 0
- Зарегистрирован: 05 дек 2012, 08:27
Заработало с таким фильтром:
Пока не добавлял.
Код: Выделить всё
[@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Added by webbox
chain=input action=accept protocol=icmp
1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=internet
2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=internet
3 X ;;; Added by webbox
chain=input action=drop in-interface=internet
4 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=internet
5 ;;; Added by webbox
chain=customer action=accept connection-state=established
6 ;;; Added by webbox
chain=customer action=accept connection-state=related
7 X ;;; Added by webbox
chain=customer action=drop
8 ;;; IPTV
chain=input action=accept protocol=udp src-port=5000
9 ;;; IPTV
chain=input action=accept protocol=igmp
[@MikroTik] /ip firewall filter>
/ip firewall filter add place-before=0 chain=forward action=accept
Пока не добавлял.
-
- Сообщения: 0
- Зарегистрирован: 05 дек 2012, 08:27
Еще одна интересная проблема нарисовалась подключаюсь domain.no-ip.org
Если же подключение идет через прокси, или с любого другого ip (мобильного телефона, с работы) -страница открывается!
Конфиг немного переделал:
Так же, почему то отказывается работать winbox (удаленно). Хотя порт вроде бы перенаправлен.
Код: Выделить всё
К сожалению, Google Chrome не может открыть страницу domain.no-ip.org:9091
Если же подключение идет через прокси, или с любого другого ip (мобильного телефона, с работы) -страница открывается!
Конфиг немного переделал:
Код: Выделить всё
[@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept
1 ;;; Added by webbox
chain=input action=accept protocol=icmp
2 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=internet
3 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=internet
4 X ;;; Added by webbox
chain=input action=drop in-interface=internet
5 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=internet
6 ;;; Added by webbox
chain=customer action=accept connection-state=established
7 ;;; Added by webbox
chain=customer action=accept connection-state=related
8 X ;;; Added by webbox
chain=customer action=drop
[@MikroTik] /ip firewall filter>
Код: Выделить всё
[@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Added by webbox
chain=srcnat action=masquerade out-interface=internet
1 X ;;; Enable Internet
chain=dstnat action=dst-nat to-addresses=192.168.1.100
in-interface=internet
2 ;;; WinBox Remote
chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=8291
protocol=tcp in-interface=internet dst-port=8291
3 ;;; WinBox Remote
chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=8291
protocol=udp in-interface=internet dst-port=8291
4 ;;; DMZ-NAS
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=1-8290
protocol=tcp in-interface=internet dst-port=1-8290
5 ;;; DMZ-NAS
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=1-8290
protocol=udp in-interface=internet dst-port=1-8290
6 ;;; DMZ-NAS
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=8292-65535
protocol=tcp in-interface=internet dst-port=8292-65535
7 ;;; DMZ-NAS
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=8292-65535
protocol=udp in-interface=internet dst-port=8292-65535
[@MikroTik] /ip firewall nat>
Так же, почему то отказывается работать winbox (удаленно). Хотя порт вроде бы перенаправлен.