Перейти к содержимому
Калькуляторы

mikrotik. Проброс порта кривыми руками.

/ ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect" disabled=no
/ ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no

 

Не работает и все тут.

ЧЯДНТ?

 

Пробовал указывать in-interface. Пробовал отрубать все правила на фаере и разрешать всё. Не коннектится и все тут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dst-port=33 action=accept comment="SSH redirect"

ошибки нет?

SSH же по умолчанию 22 порт слушает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нет. айдека. удаленный помощник по ssh работает на 33 порту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вторая строка s/dst-address=91.xxx.xxx.xxx/dst-address=10.0.0.10/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила.

Если он сбоку и шлюзом другой, тогда по аналогии: http://www.netlab.linkpc.net/forum/index.php?topic=645.0

В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ssh это udp протокол а не tcp!

=0 омфг

Изменено пользователем pppoetest

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ssh это udp протокол а не tcp!

=0 омфг

Да уж вы правы, согласен затупил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила.

так

В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт.

А как же ответ на запрос? Ни каких двух правил не должно быть. Исходящих соединений с сервера 10.0.0.10 нет.

 

Даже счетчики не мотают на микротике. Якобы пакеты даже не приходят.

 

http://ультратонкиеклиенты.рф/in/mikrotik/redirect_ports не работает

http://wiki.m-tel.net/2011/08/01/%D0%BF%D1%80%D0%BE%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%BE%D1%80%D1%82%D0%B0-%D0%B2-mikrotik/ не работает

Изменено пользователем lousx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы как считаете, с каким dst-address пойдет пакет в таблицу forward после того, как в nat вы сделали dstnat ? :)

Намек в 4 посте.

Дополнительно srcnat с адресом внутреннего интерфейса надо делать, если на целевой железке нет маршрута 0.0.0.0/0 через ваш же микротик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как же ответ на запрос?

Я не пользуюсь мт и рисовать вам правила не стану.

Два варианта потому что вы в вопросе дали не достаточно информации о настройке сети.

Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают.

Одно могу сказать точно. На микротик в 33 порт ничего не прилетает, ибо счетчик пакетов понулям.

Либо это правило не корректно:

/ ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no

Изменено пользователем lousx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

chain=forward

 

Почему форвард?

 

Очередность правил Фаервола проверяйте! В WinBox кстати это более наглядно, правила выполняются от первого к последнему. И еще если фаер настраивали через веб интерфейс, то проверьте chain, куда идет трафик на input или customer.

 

Есть хорошая инструкция для новичков по пробросу портов в Nat'е на микротике:

Изменено пользователем artsnz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может проблема в том, что у меня нат не маскарадингом, а сурс - дистанишн ?

 

в фаере правло первым ставлю

Изменено пользователем lousx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нашел целый раздел по настройке Микротика и НАТа в том числе: http://aitec.md/support.php?id=4

 

Я настроил маскардингом - работает. Еще имейте ввиду, если делаете проброс с подменой порта, то на фаерволе надо открывать уже подмененный порт, а не тот который подменяете, так как подмена портов происходит, до отработки правил фаервола.

 

> сурс - дистанишн ?

это как?! Я даже такого пункта в настройке ната не нашел.

Изменено пользователем artsnz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пример исходящего NAT(Masquerading)

Если вы хотите "скрыть" локальную сеть 192.168.0.0/24 одним адресом 10.5.8.109

выданный вам

представителем

Интернет

услуг, вам необходимо

использовать

трансляцию

адреса источника например с по

мощью (masquerad

i

n

g

) средства MikroTik

маршрутизатора. Masquerading будет подменять IP адрес и порт источника пакета

порожденного в сети 192.168.0.0/24 на адрес маршрутизатора 10.5.8.109 когда пакет будет

проходить через него. Для использования masqueradin

g, в конфигурацию межсетевого

экрана необходимо добавить действие 'masquerading':

/ip firewall nat add chain=srcnat action=masquerade out

-

interface=Public

Во всех исходящих соединениях из сети 192.168.0.0/24 адрес источника будет изменен на

адрес маршрути

затора 10.5.8.109 и порт выше 1024. Доступ к локальным адресам из

Интернета

не возможен. Если вы хотите разрешить соединения к серверу в локальной

сети, то вам необходимо использовать трансляцию адреса назначения(DST

-

NAT).

Пример использования DST

-

NAT

Есл

и вы хотите выставить наружу хост с адресом 192.168.0.109 так чтобы он выглядел как

10.5.8.200, то вам необходимо использовать трансляцию адреса назначения. Таким

образом вы можете например выставить наружу сервер находящейся в локальной сети с

реальным IP

адресом. Для начала добавляем реальный IP адрес на внешний интерфейс:

/ip address add address=10.5.8.200/

32

interface

=

Public

Добавляем правило разрешающее доступ к локальному серверу из внешней сети

/ip firewall nat add chain=dstnat dst

-

address=10.5.8.200 action=dst

-

nat to

-

addresses=192.168.0.109

Добавляем правило для трансляции исходящего адреса локального сервера во внешний

адрес маршрутизатора

/ip firewall nat add chain=srcnat src

-

address=192.168.

0.109 action=src

-

nat

to

-

addresses=10.5.8.200

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для ната:

/ ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect in" disabled=no
/ ip firewall nat add chain=srcnat src-address=10.0.0.10 protocol=tcp src-port=33 action=src-nat to-addresses=91.xxx.xxx.xxx to-ports=33 comment="SSH redirect out" disabled=no

 

Для фаервола:

/ ip firewall filter add chain=input dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no

 

Если что вот еще одна инструкция: http://wiki.mikrotik.com/wiki/NAT_Tutorial

Изменено пользователем artsnz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.