dimelord Posted October 7, 2015 · Report post Здравствуйте! У меня вот такая конфигурация сети: Cisco (192.168.65.52) ---> (192.168.65.253) Mikrotik (192.168.63.253) ---> NetFlowCollector (192.168.63.248) Cisco настроена отправлять netflow v5 и v9 на один и тот же коллектор, но на разные порты. Вот, что я вижу в логе работы файрвола на микротике: net65forward: in:ether2 out:LAN, src-mac 00:1b:d4:e2:9e:3d, proto UDP, 192.168.65.52:56598->192.168.63.248:9996, len 340 net65forward: in:ether2 out:LAN, src-mac 00:1b:d4:e2:9e:3d, proto UDP, 192.168.65.52:61758->192.168.63.248:9995, NAT (192.168.65.52:61758->192.168.63.253:61758)->192.168.63.248:9995, len 370 Соответственно, 63.248 на порту 9995 получает трафик с некорректным для моей задачи IP. Откуда берется подмена адреса я никак понять не могу. Правило маскарадинга у микротика только одно: add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 src-address=192.168.63.0/24 Если с циски делать пинг, телнет на любой порт (в т.ч. 9995), делать трассировку (udp) - дампом на 192.168.63.248 я всегда вижу корректный src адрес 192.168.65.52 Помогите, пожалуйста, советом! Второй день уже бьюсь над разгадкой. Mikrotik - 2011UiAS (RouterOS 6.31) Конфиг netflow c циски: v9 ! flow exporter FEXP-TEST1 destination 192.168.63.248 template data timeout 30 option interface-table timeout 60 option exporter-stats timeout 60 option vrf-table timeout 60 option sampler-table timeout 60 option application-table timeout 60 ! v5 ! ip flow-export source FastEthernet0/1 ip flow-export version 5 ip flow-export destination 192.168.63.248 9996 ip flow-top-talkers top 5 sort-by bytes cache-timeout 1000 ! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rz3dwy Posted October 7, 2015 · Report post Незнаком с микротиком, но нет ли тут ошибки? src-addr = 192.168.65.52, dst-addr=192.168.0/24 Вместо add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 src-address=192.168.63.0/24 может вот это нужно: add action=masquerade chain=srcnat dst-address=!192.168.63.0/24 src-address=192.168.65.0/24, если не нужно натить сеть 65.0 при доступе к 63.0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimelord Posted October 7, 2015 · Report post add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 src-address=192.168.63.0/24 Это правило "выпускает" 63-ю подсеть в интернет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 7, 2015 · Report post Это правило "выпускает" 63-ю подсеть в интернет. Не понятно почему такое происходит - это уж готовый вопрос в ТП. А почему нельзя протранзитить 63 подсеть до киски мимо микротика или вланом через микротик? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimelord Posted October 9, 2015 · Report post Зацените работу микротика: 11:47:45 firewall,info netflow forward: in:ether2 out:LAN, src-mac 00:1b:d4:e2:9e:3d, proto UDP, 192.168.65.52:56598->192.168.63.248:9995, len 244 11:47:46 firewall,info netflow forward: in:ether2 out:LAN, src-mac 00:1b:d4:e2:9e:3d, proto UDP, 192.168.65.52:61758->192.168.63.248:9995, NAT (192.168.65.52:61758->192.168.63.253:61758)->192.168.63.248:9995, len 264 Первый пакет - циска отправила netflow v5, второй пакет - netflow v9 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
random7 Posted October 9, 2015 · Report post Ну покажите что ли /ip firewall export в микротике Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimelord Posted October 12, 2015 · Report post /ip firewall nat add chain=srcnat dst-address=192.168.100.0/24 src-address=192.168.63.0/24 add chain=srcnat dst-address=192.168.130.0/24 src-address=192.168.63.0/24 add chain=srcnat dst-address=192.168.16.0/24 src-address=192.168.63.0/24 add action=src-nat chain=srcnat dst-address=134.xx.0.0/16 src-address=0.0.0.0/0 to-addresses=134.xx.xx.xx add action=src-nat chain=srcnat dst-address=130.xx.0.0/16 src-address=0.0.0.0/0 to-addresses=134.xx.xx.x add action=src-nat chain=srcnat dst-address=92.120.xx.0/22 src-address=0.0.0.0/0 to-addresses=134.xx.xx.xx add action=dst-nat chain=dstnat dst-address=178.16.xx.xx dst-port=38080 protocol=tcp to-addresses=192.168.63.236 to-ports=8080 add action=dst-nat chain=dstnat dst-address=178.16.xx.xx dst-port=8002 protocol=tcp to-addresses=192.168.63.236 to-ports=8002 add action=dst-nat chain=dstnat dst-address=178.16.xx.xx dst-port=8000 protocol=tcp to-addresses=192.168.63.236 to-ports=8000 add action=dst-nat chain=dstnat dst-address=178.16.xx.xx dst-port=38022 protocol=tcp to-addresses=192.168.63.236 to-ports=22 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx protocol=tcp to-addresses=192.168.63.225 add action=dst-nat chain=dstnat dst-address=178.16.xx.xx dst-port=389 log=yes protocol=tcp src-address=185.22.xx.xx to-addresses=192.168.63.220 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=389 protocol=tcp src-address=185.22.xx.xx to-addresses=192.168.63.220 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=53 protocol=udp src-address=0.0.0.0/0 to-addresses=192.168.63.85 to-ports=53 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=22 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.40 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=1723 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.253 to-ports=1723 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=81 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.39 to-ports=81 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=82 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.39 to-ports=82 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=3000 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.198 to-ports=3000 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=3002 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.198 to-ports=3002 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=8080 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.140 to-ports=8080 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=8181 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.137 to-ports=8080 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.54 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=8443 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.235 to-ports=8443 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=8081 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.74 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=22 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.85 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.40 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80,3000 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.240 to-ports=3000 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=20,21,22 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.19 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=5101,80,8080 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.189 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=1723 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.188 to-ports=1723 add action=dst-nat chain=dstnat dst-address=93.153.xx.xx dst-port=1723 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.188 to-ports=1723 add action=dst-nat chain=dstnat dst-address=93.153.xx.xx dst-port=22 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.40 to-ports=22 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=8080 protocol=tcp src-address=131.103.20.0/24 to-addresses=192.168.63.40 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=389,636 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.88 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.239 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80,443 protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.18 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80 protocol=tcp src-address=195.5.xx.xx to-addresses=192.168.63.166 to-ports=80 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80 protocol=tcp src-address=212.119.xx.xx to-addresses=192.168.63.166 to-ports=80 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx dst-port=80 protocol=tcp src-address=212.119.xx.xx to-addresses=192.168.63.166 to-ports=80 add action=dst-nat chain=dstnat dst-address=85.114.xx.xx protocol=tcp src-address=0.0.0.0/0 to-addresses=192.168.63.120 add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 out-interface=ether10 /ip firewall mangle add action=mark-connection chain=input dst-address=93.153.xx.xx in-interface=ether9 new-connection-mark=megafon add action=mark-routing chain=output connection-mark=megafon new-routing-mark=megafon add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.71 add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.217 add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.137 add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.114 add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.191 add chain=prerouting dst-address=!85.114.xx.xx/26 dst-port=80 protocol=tcp src-address=192.168.63.176 add chain=postrouting dst-address=192.168.100.97 src-address=192.168.63.40 add chain=postrouting dst-address=192.168.100.91 src-address=192.168.63.40 add chain=postrouting dst-address=0.0.0.0/0 protocol=ipsec-esp src-address=0.0.0.0/0 add chain=postrouting dst-address=192.168.100.0/24 src-address=192.168.63.0/24 add chain=postrouting dst-address=192.168.130.0/24 src-address=192.168.63.0/24 add chain=postrouting dst-address=192.168.16.0/24 src-address=192.168.63.0/24 add chain=postrouting dst-address=192.168.63.0/24 src-address=192.168.22.0/24 add chain=postrouting dst-address=10.213.0.0/16 src-address=192.168.63.0/24 /ip route add check-gateway=arp distance=5 gateway=178.16.xx.xx add check-gateway=arp distance=10 gateway=93.153.xx.xx add check-gateway=arp distance=1 dst-address=92.120.xx.xx/22 gateway=192.168.83.1 add check-gateway=arp distance=1 dst-address=134.xx.xx.xx/16 gateway=192.168.83.1 add check-gateway=arp distance=1 dst-address=165.xx.xx.xx/16 gateway=192.168.83.1 add distance=1 dst-address=192.168.1.0/24 gateway=192.168.88.1 add check-gateway=arp distance=1 dst-address=192.168.16.0/24 gateway=192.168.100.253 add distance=1 dst-address=192.168.66.0/24 gateway=192.168.65.52 add distance=1 dst-address=192.168.67.0/24 gateway=192.168.65.52 add distance=1 dst-address=192.168.68.0/24 gateway=192.168.65.52 add distance=1 dst-address=192.168.69.0/24 gateway=192.168.65.52 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
random7 Posted October 12, 2015 · Report post Что-то у вас action нет в куче правил, это точно полный вывод? А, ещё может быть, что соединение старое, а правила были добавлены/убраны позже - одно из соединений отнатилось по старым правилам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimelord Posted October 12, 2015 · Report post Вывод по нату точно полный. Роутер перезагружался, так что возраст соединений отпадает. Я очень сильно подозреваю, что это глюк микротика. Но куда им написать не знаю, чтобы они его у себя воспроизвели и сделали патч. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 12, 2015 · Report post Но куда им написать не знаю, чтобы они его у себя воспроизвели и сделали патч. Можете на форум. Но я бы особенно на скорый патч не надеялся. Они critical баги годами правят... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 18, 2015 · Report post Вам просто надо привести правила файрвола в нормальный вид, используя адрес листы и другие схемы оптимизации, например первые 3 правила в нате можно заменить одним. Создаете адрес лист, куда помещаете 3 указанные сети, далее в правиле срц адрес лист и готово. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 18, 2015 · Report post Вам просто надо привести правила файрвола в нормальный вид, используя адрес листы и другие схемы оптимизации Т.е. без адрес листов микротик натит невесть что невесть куда, как внутренние тараканы ему нашепчут? Какая прелесть :) Надеюсь, в официальном мануале есть об этом упоминание? или секрет "правильных настроек" держится от покупателя сей поделки в тайне? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 19, 2015 · Report post Т.е. без адрес листов микротик натит невесть что невесть куда, как внутренние тараканы ему нашепчут? Какая прелесть :) Надеюсь, в официальном мануале есть об этом упоминание? или секрет "правильных настроек" держится от покупателя сей поделки в тайне? В приведенном конфиге видно, что сначала правила НАТ для одной подсети, потом для второй и для третьей. Пакет данных проходит по ним цепочкой, вместо того, что бы обработаться сразу в одном правиле. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 19, 2015 · Report post В приведенном конфиге видно, что сначала правила НАТ для одной подсети, потом для второй и для третьей. Пакет данных проходит по ним цепочкой, вместо того, что бы обработаться сразу в одном правиле. Пакет данных не должен попадать в эти правила вообще, потому как не соответствует src/dst адресам. Но благодаря какому-то рукожопу-разрабу он каким-то чудом таки натится. Причем - сугубо пакет определенного формата, другой пакет с этого же источника на этого же получателя - не натится. Видать хорошие вещества разрабам, запиливавшим свои костыли в код, завезли... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted October 20, 2015 · Report post Тут ничего подозрительного нет? /ip firewall service-port print Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimelord Posted October 21, 2015 · Report post В общем, это был баг ОСи. После обновления до 6.32.2 проблема исчезла. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...