dimelord Posted October 7, 2015 Здравствуйте! У меня вот такая конфигурация сети: Cisco (192.168.65.52) ---> (192.168.65.253) Mikrotik (192.168.63.253) ---> NetFlowCollector (192.168.63.248) Cisco настроена отправлять netflow v5 и v9 на один и тот же коллектор, но на разные порты. Вот, что я вижу в логе работы файрвола на микротике: net65forward: in:ether2 out:LAN, src-mac 00:1b:d4:e2:9e:3d, proto UDP, 192.168.65.52:56598->192.168.63.248:9996, len 340 net65forward: in:ether2 out:LAN, src-mac 00:1b:d4:e2:9e:3d, proto UDP, 192.168.65.52:61758->192.168.63.248:9995, NAT (192.168.65.52:61758->192.168.63.253:61758)->192.168.63.248:9995, len 370 Соответственно, 63.248 на порту 9995 получает трафик с некорректным для моей задачи IP. Откуда берется подмена адреса я никак понять не могу. Правило маскарадинга у микротика только одно: add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 src-address=192.168.63.0/24 Если с циски делать пинг, телнет на любой порт (в т.ч. 9995), делать трассировку (udp) - дампом на 192.168.63.248 я всегда вижу корректный src адрес 192.168.65.52 Помогите, пожалуйста, советом! Второй день уже бьюсь над разгадкой. Mikrotik - 2011UiAS (RouterOS 6.31) Конфиг netflow c циски: v9 ! flow exporter FEXP-TEST1 destination 192.168.63.248 template data timeout 30 option interface-table timeout 60 option exporter-stats timeout 60 option vrf-table timeout 60 option sampler-table timeout 60 option application-table timeout 60 ! v5 ! ip flow-export source FastEthernet0/1 ip flow-export version 5 ip flow-export destination 192.168.63.248 9996 ip flow-top-talkers top 5 sort-by bytes cache-timeout 1000 ! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rz3dwy Posted October 7, 2015 Незнаком с микротиком, но нет ли тут ошибки? src-addr = 192.168.65.52, dst-addr=192.168.0/24 Вместо add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 src-address=192.168.63.0/24 может вот это нужно: add action=masquerade chain=srcnat dst-address=!192.168.63.0/24 src-address=192.168.65.0/24, если не нужно натить сеть 65.0 при доступе к 63.0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimelord Posted October 7, 2015 add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 src-address=192.168.63.0/24 Это правило "выпускает" 63-ю подсеть в интернет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 7, 2015 Это правило "выпускает" 63-ю подсеть в интернет. Не понятно почему такое происходит - это уж готовый вопрос в ТП. А почему нельзя протранзитить 63 подсеть до киски мимо микротика или вланом через микротик? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimelord Posted October 9, 2015 Зацените работу микротика: 11:47:45 firewall,info netflow forward: in:ether2 out:LAN, src-mac 00:1b:d4:e2:9e:3d, proto UDP, 192.168.65.52:56598->192.168.63.248:9995, len 244 11:47:46 firewall,info netflow forward: in:ether2 out:LAN, src-mac 00:1b:d4:e2:9e:3d, proto UDP, 192.168.65.52:61758->192.168.63.248:9995, NAT (192.168.65.52:61758->192.168.63.253:61758)->192.168.63.248:9995, len 264 Первый пакет - циска отправила netflow v5, второй пакет - netflow v9 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
random7 Posted October 9, 2015 Ну покажите что ли /ip firewall export в микротике Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimelord Posted October 12, 2015 /ip firewall nat add chain=srcnat dst-address=192.168.100.0/24 src-address=192.168.63.0/24 add chain=srcnat dst-address=192.168.130.0/24 src-address=192.168.63.0/24 add chain=srcnat dst-address=192.168.16.0/24 src-address=192.168.63.0/24 add action=src-nat chain=srcnat dst-address=134.xx.0.0/16 src-address=0.0.0.0/0 to-addresses=134.xx.xx.xx add action=src-nat chain=srcnat dst-address=130.xx.0.0/16 src-address=0.0.0.0/0 to-addresses=134.xx.xx.x add action=src-nat chain=srcnat dst-address=92.120.xx.0/22 src-address=0.0.0.0/0 to-addresses=134.xx.xx.xx add action=dst-nat chain=dstnat dst-address=178.16.xx.xx dst-port=38080 protocol=tcp to-addresses=192.168.63.236 to-ports=8080 add action=dst-nat chain=dstnat dst-address=178.16.xx.xx dst-port=8002 protocol=tcp to-addresses=192.168.63.236 to-ports=8002 add action=dst-nat chain=dstnat dst-address=178.16.xx.xx dst-port=8000 protocol=tcp to-addresses=192.168.63.236 to-ports=8000 add action=dst-nat chain=dstnat dst-address=178.16.xx.xx dst-port=38022 protocol=tcp to-addresses=192.168.63.236 to-ports=22 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx protocol=tcp to-addresses=192.168.63.225 add action=dst-nat chain=dstnat dst-address=178.16.xx.xx dst-port=389 log=yes protocol=tcp src-address=185.22.xx.xx to-addresses=192.168.63.220 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=389 protocol=tcp src-address=185.22.xx.xx to-addresses=192.168.63.220 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=53 protocol=udp src-address=0.0.0.0/0 to-addresses=192.168.63.85 to-ports=53 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=22 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.40 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=1723 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.253 to-ports=1723 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=81 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.39 to-ports=81 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=82 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.39 to-ports=82 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=3000 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.198 to-ports=3000 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=3002 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.198 to-ports=3002 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=8080 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.140 to-ports=8080 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=8181 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.137 to-ports=8080 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.54 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=8443 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.235 to-ports=8443 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=8081 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.74 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=22 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.85 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.40 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80,3000 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.240 to-ports=3000 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=20,21,22 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.19 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=5101,80,8080 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.189 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=1723 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.188 to-ports=1723 add action=dst-nat chain=dstnat dst-address=93.153.xx.xx dst-port=1723 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.188 to-ports=1723 add action=dst-nat chain=dstnat dst-address=93.153.xx.xx dst-port=22 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.40 to-ports=22 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=8080 protocol=tcp src-address=131.103.20.0/24 to-addresses=192.168.63.40 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=389,636 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.88 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.239 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80,443 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.18 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80 protocol=tcp src-address=195.5.xx.xx to-addresses=192.168.63.166 to-ports=80 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80 protocol=tcp src-address=212.119.xx.xx to-addresses=192.168.63.166 to-ports=80 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80 protocol=tcp src-address=212.119.xx.xx to-addresses=192.168.63.166 to-ports=80 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.120 add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 out-interface=ether10 /ip firewall mangle add action=mark-connection chain=input dst-address=93.153.xx.xx in-interface=ether9 new-connection-mark=megafon add action=mark-routing chain=output connection-mark=megafon new-routing-mark=megafon add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.71 add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.217 add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.137 add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.114 add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.191 add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.176 add chain=postrouting dst-address=192.168.100.97 src-address=192.168.63.40 add chain=postrouting dst-address=192.168.100.91 src-address=192.168.63.40 add chain=postrouting dst-address=0.0.0.0/0 protocol=ipsec-esp src-address=0.0.0.0/0 add chain=postrouting dst-address=192.168.100.0/24 src-address=192.168.63.0/24 add chain=postrouting dst-address=192.168.130.0/24 src-address=192.168.63.0/24 add chain=postrouting dst-address=192.168.16.0/24 src-address=192.168.63.0/24 add chain=postrouting dst-address=192.168.63.0/24 src-address=192.168.22.0/24 add chain=postrouting dst-address=10.213.0.0/16 src-address=192.168.63.0/24 /ip route add check-gateway=arp distance=5 gateway=178.16.xx.xx add check-gateway=arp distance=10 gateway=93.153.xx.xx add check-gateway=arp distance=1 dst-address=92.120.xx.xx/22 gateway=192.168.83.1 add check-gateway=arp distance=1 dst-address=134.xx.xx.xx/16 gateway=192.168.83.1 add check-gateway=arp distance=1 dst-address=165.xx.xx.xx/16 gateway=192.168.83.1 add distance=1 dst-address=192.168.1.0/24 gateway=192.168.88.1 add check-gateway=arp distance=1 dst-address=192.168.16.0/24 gateway=192.168.100.253 add distance=1 dst-address=192.168.66.0/24 gateway=192.168.65.52 add distance=1 dst-address=192.168.67.0/24 gateway=192.168.65.52 add distance=1 dst-address=192.168.68.0/24 gateway=192.168.65.52 add distance=1 dst-address=192.168.69.0/24 gateway=192.168.65.52 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
random7 Posted October 12, 2015 Что-то у вас action нет в куче правил, это точно полный вывод? А, ещё может быть, что соединение старое, а правила были добавлены/убраны позже - одно из соединений отнатилось по старым правилам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimelord Posted October 12, 2015 Вывод по нату точно полный. Роутер перезагружался, так что возраст соединений отпадает. Я очень сильно подозреваю, что это глюк микротика. Но куда им написать не знаю, чтобы они его у себя воспроизвели и сделали патч. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 12, 2015 Но куда им написать не знаю, чтобы они его у себя воспроизвели и сделали патч. Можете на форум. Но я бы особенно на скорый патч не надеялся. Они critical баги годами правят... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 18, 2015 Вам просто надо привести правила файрвола в нормальный вид, используя адрес листы и другие схемы оптимизации, например первые 3 правила в нате можно заменить одним. Создаете адрес лист, куда помещаете 3 указанные сети, далее в правиле срц адрес лист и готово. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 18, 2015 Вам просто надо привести правила файрвола в нормальный вид, используя адрес листы и другие схемы оптимизации Т.е. без адрес листов микротик натит невесть что невесть куда, как внутренние тараканы ему нашепчут? Какая прелесть :) Надеюсь, в официальном мануале есть об этом упоминание? или секрет "правильных настроек" держится от покупателя сей поделки в тайне? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 19, 2015 Т.е. без адрес листов микротик натит невесть что невесть куда, как внутренние тараканы ему нашепчут? Какая прелесть :) Надеюсь, в официальном мануале есть об этом упоминание? или секрет "правильных настроек" держится от покупателя сей поделки в тайне? В приведенном конфиге видно, что сначала правила НАТ для одной подсети, потом для второй и для третьей. Пакет данных проходит по ним цепочкой, вместо того, что бы обработаться сразу в одном правиле. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 19, 2015 В приведенном конфиге видно, что сначала правила НАТ для одной подсети, потом для второй и для третьей. Пакет данных проходит по ним цепочкой, вместо того, что бы обработаться сразу в одном правиле. Пакет данных не должен попадать в эти правила вообще, потому как не соответствует src/dst адресам. Но благодаря какому-то рукожопу-разрабу он каким-то чудом таки натится. Причем - сугубо пакет определенного формата, другой пакет с этого же источника на этого же получателя - не натится. Видать хорошие вещества разрабам, запиливавшим свои костыли в код, завезли... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted October 20, 2015 Тут ничего подозрительного нет? /ip firewall service-port print Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimelord Posted October 21, 2015 В общем, это был баг ОСи. После обновления до 6.32.2 проблема исчезла. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
