Jump to content
Калькуляторы

snat в dst-nat цепочке правил firewall

Коллеги, добрый день.

Пытаюсь с помощью микротик пробросить порты во внутрь сети. При этом сам микротик не является шлюзом по для компьютера куда порты пробрасываются.

Получается что пакет приходит на внешний ip микротика, тот переписывает dst ip и dst port но оставляет src без изменений и пересылает пакет дальше. Тут всё ок.

Но ответ на этот пакет клиент отправляет через свой дефолт, не через микротик.

Получается что нужно в dst-nat цепочке кроме dnat сделать snat, что бы преобразовать и обратный адрес. Но микротик не позволяет использовать snat в dst-nat цепочке.

 

Может быть кто-то в курсе как можно обойти это ограничение?

Share this post


Link to post
Share on other sites

indeec

Не пробовал, но это что-то должно быть типа ПАТ на внутреннем интерфейсе. Как из локалки в инет народ выпускаешь, только наоборот.

Внутренние хосты у тебя - инет. Перебивка IP на внутр. инт-се.

ХЗ только как это будет работать при уже имеющихся настройках НАТа. Матчить как-то - естаблиш или еще как.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this