lousx Posted March 12, 2013 / ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect" disabled=no / ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Не работает и все тут. ЧЯДНТ? Пробовал указывать in-interface. Пробовал отрубать все правила на фаере и разрешать всё. Не коннектится и все тут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
polmax Posted March 12, 2013 dst-port=33 action=accept comment="SSH redirect" ошибки нет? SSH же по умолчанию 22 порт слушает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lousx Posted March 12, 2013 нет. айдека. удаленный помощник по ssh работает на 33 порту. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
The Ripper Posted March 12, 2013 вторая строка s/dst-address=91.xxx.xxx.xxx/dst-address=10.0.0.10/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 12, 2013 Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила. Если он сбоку и шлюзом другой, тогда по аналогии: http://www.netlab.linkpc.net/forum/index.php?topic=645.0 В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex006 Posted March 12, 2013 ssh это udp протокол а не tcp! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted March 12, 2013 (edited) ssh это udp протокол а не tcp! =0 омфг Edited March 12, 2013 by pppoetest Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex006 Posted March 12, 2013 ssh это udp протокол а не tcp! =0 омфг Да уж вы правы, согласен затупил... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lousx Posted March 13, 2013 (edited) Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила. так В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт. А как же ответ на запрос? Ни каких двух правил не должно быть. Исходящих соединений с сервера 10.0.0.10 нет. Даже счетчики не мотают на микротике. Якобы пакеты даже не приходят. http://ультратонкиеклиенты.рф/in/mikrotik/redirect_ports не работает http://wiki.m-tel.net/2011/08/01/%D0%BF%D1%80%D0%BE%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%BE%D1%80%D1%82%D0%B0-%D0%B2-mikrotik/ не работает Edited March 13, 2013 by lousx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
The Ripper Posted March 13, 2013 Вы как считаете, с каким dst-address пойдет пакет в таблицу forward после того, как в nat вы сделали dstnat ? :) Намек в 4 посте. Дополнительно srcnat с адресом внутреннего интерфейса надо делать, если на целевой железке нет маршрута 0.0.0.0/0 через ваш же микротик. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 13, 2013 А как же ответ на запрос? Я не пользуюсь мт и рисовать вам правила не стану. Два варианта потому что вы в вопросе дали не достаточно информации о настройке сети. Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lousx Posted March 13, 2013 (edited) Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают. Одно могу сказать точно. На микротик в 33 порт ничего не прилетает, ибо счетчик пакетов понулям. Либо это правило не корректно: / ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Edited March 13, 2013 by lousx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
artsnz Posted March 14, 2013 (edited) chain=forward Почему форвард? Очередность правил Фаервола проверяйте! В WinBox кстати это более наглядно, правила выполняются от первого к последнему. И еще если фаер настраивали через веб интерфейс, то проверьте chain, куда идет трафик на input или customer. Есть хорошая инструкция для новичков по пробросу портов в Nat'е на микротике: Edited March 14, 2013 by artsnz Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lousx Posted March 14, 2013 (edited) Может проблема в том, что у меня нат не маскарадингом, а сурс - дистанишн ? в фаере правло первым ставлю Edited March 14, 2013 by lousx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
artsnz Posted March 14, 2013 (edited) Нашел целый раздел по настройке Микротика и НАТа в том числе: http://aitec.md/support.php?id=4 Я настроил маскардингом - работает. Еще имейте ввиду, если делаете проброс с подменой порта, то на фаерволе надо открывать уже подмененный порт, а не тот который подменяете, так как подмена портов происходит, до отработки правил фаервола. > сурс - дистанишн ? это как?! Я даже такого пункта в настройке ната не нашел. Edited March 14, 2013 by artsnz Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lousx Posted March 14, 2013 Пример исходящего NAT(Masquerading)Если вы хотите "скрыть" локальную сеть 192.168.0.0/24 одним адресом 10.5.8.109 выданный вам представителем Интернет услуг, вам необходимо использовать трансляцию адреса источника например с по мощью (masquerad i n g ) средства MikroTik маршрутизатора. Masquerading будет подменять IP адрес и порт источника пакета порожденного в сети 192.168.0.0/24 на адрес маршрутизатора 10.5.8.109 когда пакет будет проходить через него. Для использования masqueradin g, в конфигурацию межсетевого экрана необходимо добавить действие 'masquerading': /ip firewall nat add chain=srcnat action=masquerade out - interface=Public Во всех исходящих соединениях из сети 192.168.0.0/24 адрес источника будет изменен на адрес маршрути затора 10.5.8.109 и порт выше 1024. Доступ к локальным адресам из Интернета не возможен. Если вы хотите разрешить соединения к серверу в локальной сети, то вам необходимо использовать трансляцию адреса назначения(DST - NAT). Пример использования DST - NAT Есл и вы хотите выставить наружу хост с адресом 192.168.0.109 так чтобы он выглядел как 10.5.8.200, то вам необходимо использовать трансляцию адреса назначения. Таким образом вы можете например выставить наружу сервер находящейся в локальной сети с реальным IP адресом. Для начала добавляем реальный IP адрес на внешний интерфейс: /ip address add address=10.5.8.200/ 32 interface = Public Добавляем правило разрешающее доступ к локальному серверу из внешней сети /ip firewall nat add chain=dstnat dst - address=10.5.8.200 action=dst - nat to - addresses=192.168.0.109 Добавляем правило для трансляции исходящего адреса локального сервера во внешний адрес маршрутизатора /ip firewall nat add chain=srcnat src - address=192.168. 0.109 action=src - nat to - addresses=10.5.8.200 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
artsnz Posted March 14, 2013 (edited) Для ната: / ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect in" disabled=no / ip firewall nat add chain=srcnat src-address=10.0.0.10 protocol=tcp src-port=33 action=src-nat to-addresses=91.xxx.xxx.xxx to-ports=33 comment="SSH redirect out" disabled=no Для фаервола: / ip firewall filter add chain=input dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Если что вот еще одна инструкция: http://wiki.mikrotik.com/wiki/NAT_Tutorial Edited March 14, 2013 by artsnz Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...