Jump to content

snat в dst-nat цепочке правил firewall

Коллеги, добрый день.

Пытаюсь с помощью микротик пробросить порты во внутрь сети. При этом сам микротик не является шлюзом по для компьютера куда порты пробрасываются.

Получается что пакет приходит на внешний ip микротика, тот переписывает dst ip и dst port но оставляет src без изменений и пересылает пакет дальше. Тут всё ок.

Но ответ на этот пакет клиент отправляет через свой дефолт, не через микротик.

Получается что нужно в dst-nat цепочке кроме dnat сделать snat, что бы преобразовать и обратный адрес. Но микротик не позволяет использовать snat в dst-nat цепочке.

 

Может быть кто-то в курсе как можно обойти это ограничение?

Share this post


Link to post
Share on other sites

netmap не поможет, нужно адрес источника подменять

 

http://forum.nag.ru/forum/index.php?showtopic=84495&view=findpost&p=851941

Edited by choks_kvv

Share this post


Link to post
Share on other sites

indeec

Не пробовал, но это что-то должно быть типа ПАТ на внутреннем интерфейсе. Как из локалки в инет народ выпускаешь, только наоборот.

Внутренние хосты у тебя - инет. Перебивка IP на внутр. инт-се.

ХЗ только как это будет работать при уже имеющихся настройках НАТа. Матчить как-то - естаблиш или еще как.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.