Страница 1 из 1
Проброс порта на веб сервер
Добавлено: 18 фев 2018, 10:43
rivan
Доброго всем.
У меня есть белый внешний статический ИП, и несколько серверов на которые сделан проброс портов. Например 25 порт на почтовый сервер, а 80 и 443 на веб сервер и т.п. Все работает отлично.
Но возник вопрос - сейчас логи веб сервера показывают обращения из интернета как адрес микротика.
А мне хотелось бы, чтобы в логах были реальные ИП адреса посетителей. Каким образом это можно реализовать? Если бы мой внешний адрес был нужен только для веб сервера я бы просто сделал туннель, а так как на нем еще куча всего висит не могу придумать как такое реализовать.
Re: Проброс порта на веб сервер
Добавлено: 18 фев 2018, 11:02
enzain
SRC-NAT у вас не правильно настроен.
Сделайте его только для тех пакетов где аут интерфейс - интернетовский интерфейс
Покажите правила в нате, пожалуйста
Re: Проброс порта на веб сервер
Добавлено: 18 фев 2018, 11:28
rivan
1 ;;; ISP1
chain=srcnat action=masquerade
12 ;;; SSL
chain=dstnat action=dst-nat to-addresses=192.168.100.5 to-ports=443
protocol=tcp dst-address=194.190.30.10 in-interface=ISP 1 dst-port=443
13 chain=srcnat action=src-nat to-addresses=194.190.30.10 to-ports=443
protocol=tcp dst-address=192.168.100.5 out-interface=ISP 1 dst-port=443
Через srcnat 0 байт принятых и отправленных. Может потому, что маскарад впереди всех правил?
Re: Проброс порта на веб сервер
Добавлено: 18 фев 2018, 11:31
enzain
rivan писал(а): ↑18 фев 2018, 11:28
1 ;;; ISP1
chain=srcnat action=masquerade
chain=srcnat action=masquerade out-interface=
Добавте интерфейс всмотрящий в исп1
если у вас их два то добавте такое же правило но с аут интерфейсом вторым.
Re: Проброс порта на веб сервер
Добавлено: 18 фев 2018, 11:42
rivan
0 ;;; ISP1
chain=srcnat action=masquerade out-interface=ISP 1
1 chain=srcnat action=masquerade out-interface=ISP 2
13 ;;; SSL
chain=dstnat action=dst-nat to-addresses=192.168.100.5 to-ports=443
protocol=tcp dst-address=194.190.30.10 in-interface=ISP 1 dst-port=443
14 chain=srcnat action=src-nat to-addresses=194.190.30.10 to-ports=443
protocol=tcp dst-address=192.168.100.5 out-interface=ISP 1 dst-port=443
Спасибо, теперь в логах внешние ИП клиентов сервера. Вопрос - в правилах srcnat траффик нулевой - так и должно быть?
Re: Проброс порта на веб сервер
Добавлено: 18 фев 2018, 11:54
enzain
rivan писал(а): ↑18 фев 2018, 11:42
Спасибо, теперь в логах внешние ИП клиентов сервера. Вопрос - в правилах srcnat траффик нулевой - так и должно быть?
Какое именно правило?
Оно вам вообще честно сказать затрудняюсь ответить - зачем :)
Похоже на попытку прокинуть с внутреннего то же, что с внешнего ... но не надо его там писать, там другое должно быть для внутренних клиентов правило