[lazarevkirill]

Добрый день имеется роутер микротик и nas фирмы synology. На роутере с помощью dst-nat проброшены порты на nas чтобы он был доступен снаружи. Все работало прекрасно до тех пор пока не стали брутфорсить Nas, на synology есть функция блокировать ip при неудачных попытках авторизации, но если Nas сидит за микротиком то все ip адреса которые с внешки его брутфорсят он определяет как внутренний микротика, если посадить Nas за какой нибудь нетгир или длинк то все нормально адреса в блок сыпятся те с которых пришол запрос из интернета. Подскажите как донастроить микротик чтоб с ним тоже все работало если это возможно. Спасибо.

[DRiVen]

Сыграем в капитана очевидность: чтобы что-то ДОнастроить, нужно по меньшей мере знать как оно настроено уже. Конфиг где?

[lazarevkirill]

Сыграем в капитана очевидность: чтобы что-то ДОнастроить, нужно по меньшей мере знать как оно настроено уже. Конфиг где?

Прикрепил конфиг.

myconfig.txt

[DRiVen]

add chain=forward dst-address=192.168.88.235 dst-port=80,443,5000,5001 in-interface=pppoe-RT protocol=tcp

Вышележащее правило бессмысленное.

 

add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8

Это вообще, на мой взгляд, необъяснимо.

 

add action=masquerade chain=srcnat

А это собственно сама проблема. Или out-interface укажите, или src-address, либо и то и другое, можно сделать несколько правил, если нужно натить в несколько аплинков, или оставьте одно как есть, но с src-address:

add action=masquerade chain=srcnat src-address=192.168.88.0/24

[lazarevkirill]

add chain=forward dst-address=192.168.88.235 dst-port=80,443,5000,5001 in-interface=pppoe-RT protocol=tcp

 

Вышележащее правило бессмысленное.

А разве после разрешения проброса не нужно разрешать еще прохождение пакетов через роутер в цепочке форвард фаервола, просто я пересел на микротик с dlink dfl а там логика именно такая?

 

add action=drop chain=forward src-address=0.0.0.0/8

add action=drop chain=forward dst-address=0.0.0.0/8

 

Это вообще, на мой взгляд, необъяснимо.

Это было честно переписано из одного из тысячи мануалов по настройке микротика с нуля.

 

add action=masquerade chain=srcnat

 

А это собственно сама проблема. Или out-interface укажите, или src-address, либо и то и другое, можно сделать несколько правил, если нужно натить в несколько аплинков, или оставьте одно как есть, но с src-address:

add action=masquerade chain=srcnat src-address=192.168.88.0/24

Поправил после этого все заработало спасибо.

Изменено 17 февраля, 2016 пользователем lazarevkirill

[DRiVen]

А разве после разрешения проброса не нужно разрешать еще прохождение пакетов через роутер в цепочке форвард фаервола

У вас есть правило

add chain=forward comment="Allow related connections" connection-state=related

и в соответствии с ним

connection-state: related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection

connection-nat-state: Can match connections that are srcnatted, dstnatted or both. Note that connection-state=related connections connection-nat-state is determined by direction of the first packet. and if connection tracking needs to use dst-nat to deliver this connection to same hosts as main connection it will be in connection-nat-state=dstnat even if there are no dst-nat rules at all.

то есть разрешать что-либо дополнительно в firewall rules для существующих в nat правил трансляции не требуется.