Страница 3 из 4
Re: Несколько вопросов новичка по RouterOS
Добавлено: 03 июл 2014, 22:56
kulibin01
Digweed писал(а):Не получается пробросить не стандартный RDP порт
Делаю так:
Код: Выделить всё
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp dst-port=3389
add action=accept chain=forward dst-port=3389 protocol=tcp
все работает, а если меняю на не стандартный порт:
Код: Выделить всё
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp dst-port=37838
add action=accept chain=forward dst-port=37838 protocol=tcp
не работает уже, в чем я ошибаюсь? RDP сервер на компьютере 192.168.1.2 слушает порт 3389 но мы же на него и пробрасываем с 37838
Так же, в гайде по фаерволлу который писал podarok66 написано chain=input, а с input вообще не работает.
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-address=192.168.1.2 dst-port=37838
это если ты стучишь на 192.168.1.2 по порту 37838, а если с внешки на статику по порту 37838,тогда
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-port=37838
Re: Несколько вопросов новичка по RouterOS
Добавлено: 04 июл 2014, 09:36
gmx
Как я и говорил. Остался один шаг к результату.
Re: Несколько вопросов новичка по RouterOS
Добавлено: 04 июл 2014, 22:03
Digweed
kulibin01 писал(а):
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-address=192.168.1.2 dst-port=37838
это если ты стучишь на 192.168.1.2 по порту 37838, а если с внешки на статику по порту 37838,тогда
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-port=37838
И так и так попробовал. Не пускает.
Решил вот так:
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp in-interface=ukrtelecom dst-port=37838
chain=forward action=accept protocol=tcp dst-port=3389
Из того что я прочел и мне объяснили - открывать внешний порт 37838 через фаерволл не надо т.к. НАТ открывает его раньше чем срабатывают правила фаера. Но требуется открыть мой внутренний IP (и не сильно понимаю почему так. Возможно из за того что я обращаюсь по сути к моему ПК а не роутеру?) 3389. Т.е. в любом случае не используется input и я все еще не
знаю почему :)
И вообще на сколько то что я нахимичил верно? по сути мне надо обезопасить порт 3389 у RDP и вот я его пытаюсь спрятать за 37838. Можно конечно просто его поменять в RDP клиенте на 37838 но это не интересно :)
Re: Несколько вопросов новичка по RouterOS
Добавлено: 04 июл 2014, 23:18
gmx
Digweed писал(а):И вообще на сколько то что я нахимичил верно? по сути мне надо обезопасить порт 3389 у RDP и вот я его пытаюсь спрятать за 37838. Можно конечно просто его поменять в RDP клиенте на 37838 но это не интересно :)
Не стоит недооценивать снифферы и людей, которые их используют. Кроме сканирования открытых портов, программы сразу же пробуют открывать стандартные сессии, типа, telnet, ssh и rdp в том числе. Иными словами, перенос rdp на другой порт - отсрочит попытку взлома (если конечно она вообще будет) секунд на 10-15.
Re: Несколько вопросов новичка по RouterOS
Добавлено: 05 июл 2014, 21:57
kulibin01
Digweed писал(а):kulibin01 писал(а):
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-address=192.168.1.2 dst-port=37838
это если ты стучишь на 192.168.1.2 по порту 37838, а если с внешки на статику по порту 37838,тогда
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-port=37838
И так и так попробовал. Не пускает.
Решил вот так:
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp in-interface=ukrtelecom dst-port=37838
chain=forward action=accept protocol=tcp dst-port=3389
Из того что я прочел и мне объяснили - открывать внешний порт 37838 через фаерволл не надо т.к. НАТ открывает его раньше чем срабатывают правила фаера. Но требуется открыть мой внутренний IP (и не сильно понимаю почему так. Возможно из за того что я обращаюсь по сути к моему ПК а не роутеру?) 3389. Т.е. в любом случае не используется input и я все еще не
знаю почему :)
И вообще на сколько то что я нахимичил верно? по сути мне надо обезопасить порт 3389 у RDP и вот я его пытаюсь спрятать за 37838. Можно конечно просто его поменять в RDP клиенте на 37838 но это не интересно :)
filter не нужен, потому как цепочка prerouting срабатывает первой в которой как тебе правильно сказали идет вначале таблица mangle, а затем nat в которой ты и указываешь свой проброс.
не знаю как ты проверял и какие у тебя там правила, но рабочий вариант для тебя это
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp dst-port=37838
в твоем варианте ты указал на какой интерфейс должно приходить соединение (укртелеком).
а вообще ты либо указывай от кого можно принимать соединения. в данном примере это 80.111.120.14
chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389
protocol=tcp src-address=80.111.120.14 dst-port=37838
либо поднимай vpn, а то с изменением порта, как уже было сказано ранее это порнуха.
Re: Несколько вопросов новичка по RouterOS
Добавлено: 07 июл 2014, 21:23
Digweed
kulibin01
Я вот какраз начал с VPN разбираться и что оно такое. Если он работает точно так же как я себе представляю и как например в Tunnelbear & Cyberghost то по сути он отключает мой остальной интернет и пускает весь трафик через свой тунель, а мне надо только 1 соединение на определенный IP, а все остальное пусть работает как обычно.
Пробовал заодно upnp, ох он не приятную штуку делает. Создает правила динамические и потом их не удаляет даже когда они уже не нужны. В итоге куча мусора создается.
Re: Несколько вопросов новичка по RouterOS
Добавлено: 08 июл 2014, 17:12
Digweed
Народ, а что Микротик так халтурит с OpenVPN? компрессию не поддерживает, tls не поддерживает, utp не поддерживает.
Порекомендуйте на какой VPN сервер смотреть?
ppptp дырявый, ipsec с l2tp какой то монструозный вроде как (мало что про него знаю)...
Мне по сути с работы на домашний ПКа подключаться (rdp и все дела) (win & linux) и с мобильных устройств (IOS, они там поддерживают ppptp, ipsec & для опенвпн тоже есть апп).
Re: Несколько вопросов новичка по RouterOS
Добавлено: 08 июл 2014, 17:22
vqd
Мне по сути с работы на домашний ПКа подключаться (rdp и все дела) (win & linux) и с мобильных устройств (IOS, они там поддерживают ppptp, ipsec & для опенвпн тоже есть апп).
Порекомендуйте на какой VPN сервер смотреть?
ppptp дырявый, ipsec с l2tp какой то монструозный вроде как (мало что про него знаю)...
ну SSTP только остался
Re: Несколько вопросов новичка по RouterOS
Добавлено: 08 июл 2014, 19:10
Digweed
vqdНу я же серьезно
да и вроде SSTP он для windows в основном.
Я просто хочу узнать на чем опытные люди в этих делах строят свои сетки.
Re: Несколько вопросов новичка по RouterOS
Добавлено: 08 июл 2014, 19:13
vqd
не параноики PPtP или L2TP
Если того требуется то + IPSEC
Параноики исключительно IPsec
Я лично пользуюсь голым L2TP Если клиенты виндовые то PPtP