Страница 1 из 1
NAT. Внешний ip адрес
Добавлено: 06 ноя 2013, 07:23
Corvus
День добрый. Реально ли передавать в локалку ip адрес входящего соединения.. так как мне нужно видеть что такой то человек с таким то ip внешним соединился ко мне...а то я вижу только ip адрес шлюза... и поэтому софт иногда когда банит (fail2ban) то банит шлюз и доступ закрывается вообще...
Re: NAT. Внешний ip адрес
Добавлено: 06 ноя 2013, 09:01
vqd
Ну вы и видите внешний ИП адрес источника
Re: NAT. Внешний ip адрес
Добавлено: 06 ноя 2013, 14:01
simpl3x
он и должен передаваться в локальную сеть. если у вас конечно не стоит где то правила на scr-nat которое меняет адрес источника на адрес микротика. посмотрите все свои правила, которые в цепочке src-nat. обычно люди делают какое то общее правило маскарад, и у них все пакеты уходящие от мтика в обе стороны подменяются его адресом.
выложите свои правила /ip firewall nat
Re: NAT. Внешний ip адрес
Добавлено: 07 ноя 2013, 03:42
Corvus
В нате всего лишь такое правило
Код: Выделить всё
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=my_wan_ip_address dst-port=port protocol=tcp to-addresses=local_ip to-ports=port
add action=masquerade chain=srcnat
Re: NAT. Внешний ip адрес
Добавлено: 07 ноя 2013, 04:06
Corvus
Ответ найден..
Нужно ОБЯЗАТЕЛЬНО указывать на маскараде out interface... вот тогда микротик перестал подменять...на локальный(шлюзовый айпи)
Не знаю почему так... хотелось бы объяснение..на пальцах желательно )
Re: NAT. Внешний ip адрес
Добавлено: 07 ноя 2013, 06:59
vqd
Да нет, не обязательно. Все зависит от настроек и того что вы хотите.
Re: NAT. Внешний ip адрес
Добавлено: 07 ноя 2013, 08:43
Corvus
ну а больше в нате не было настроек никаких... вот когда указал на маскараде оут интерфейс все заработало как надо
Re: NAT. Внешний ip адрес
Добавлено: 07 ноя 2013, 08:54
vqd
Если честно то из вашего описания совершенно не понятно чего вы пытаетесь сделать. Возможно указать интерфейс это единственно верное решение.
Re: NAT. Внешний ip адрес
Добавлено: 07 ноя 2013, 09:13
Corvus
Дома держу пару сервисов (всякие скрипты работают и тд, также открыт доступ по ssh). Иногда меня пытаются ломать... идут переборы паролей и тд....
НО когд хочу забанить например и хочу узнать ip откуда идет перебор..то мне показывается ip адрес шлюза.. (микротика) так как микротик затирает (подменяет) src ip адрес...
НО после того как я сделал вышеописанные манипуляции с маскарадом... я начал видеть откуда кто соединяется (айпи адреса).