lousx Опубликовано 12 марта, 2013 · Жалоба / ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect" disabled=no / ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Не работает и все тут. ЧЯДНТ? Пробовал указывать in-interface. Пробовал отрубать все правила на фаере и разрешать всё. Не коннектится и все тут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
polmax Опубликовано 12 марта, 2013 · Жалоба dst-port=33 action=accept comment="SSH redirect" ошибки нет? SSH же по умолчанию 22 порт слушает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 12 марта, 2013 · Жалоба нет. айдека. удаленный помощник по ssh работает на 33 порту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
The Ripper Опубликовано 12 марта, 2013 · Жалоба вторая строка s/dst-address=91.xxx.xxx.xxx/dst-address=10.0.0.10/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 марта, 2013 · Жалоба Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила. Если он сбоку и шлюзом другой, тогда по аналогии: http://www.netlab.linkpc.net/forum/index.php?topic=645.0 В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex006 Опубликовано 12 марта, 2013 · Жалоба ssh это udp протокол а не tcp! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 12 марта, 2013 (изменено) · Жалоба ssh это udp протокол а не tcp! =0 омфг Изменено 12 марта, 2013 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex006 Опубликовано 12 марта, 2013 · Жалоба ssh это udp протокол а не tcp! =0 омфг Да уж вы правы, согласен затупил... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 13 марта, 2013 (изменено) · Жалоба Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила. так В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт. А как же ответ на запрос? Ни каких двух правил не должно быть. Исходящих соединений с сервера 10.0.0.10 нет. Даже счетчики не мотают на микротике. Якобы пакеты даже не приходят. http://ультратонкиеклиенты.рф/in/mikrotik/redirect_ports не работает http://wiki.m-tel.net/2011/08/01/%D0%BF%D1%80%D0%BE%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%BE%D1%80%D1%82%D0%B0-%D0%B2-mikrotik/ не работает Изменено 13 марта, 2013 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
The Ripper Опубликовано 13 марта, 2013 · Жалоба Вы как считаете, с каким dst-address пойдет пакет в таблицу forward после того, как в nat вы сделали dstnat ? :) Намек в 4 посте. Дополнительно srcnat с адресом внутреннего интерфейса надо делать, если на целевой железке нет маршрута 0.0.0.0/0 через ваш же микротик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 марта, 2013 · Жалоба А как же ответ на запрос? Я не пользуюсь мт и рисовать вам правила не стану. Два варианта потому что вы в вопросе дали не достаточно информации о настройке сети. Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 13 марта, 2013 (изменено) · Жалоба Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают. Одно могу сказать точно. На микротик в 33 порт ничего не прилетает, ибо счетчик пакетов понулям. Либо это правило не корректно: / ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Изменено 13 марта, 2013 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artsnz Опубликовано 14 марта, 2013 (изменено) · Жалоба chain=forward Почему форвард? Очередность правил Фаервола проверяйте! В WinBox кстати это более наглядно, правила выполняются от первого к последнему. И еще если фаер настраивали через веб интерфейс, то проверьте chain, куда идет трафик на input или customer. Есть хорошая инструкция для новичков по пробросу портов в Nat'е на микротике: Изменено 14 марта, 2013 пользователем artsnz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 14 марта, 2013 (изменено) · Жалоба Может проблема в том, что у меня нат не маскарадингом, а сурс - дистанишн ? в фаере правло первым ставлю Изменено 14 марта, 2013 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artsnz Опубликовано 14 марта, 2013 (изменено) · Жалоба Нашел целый раздел по настройке Микротика и НАТа в том числе: http://aitec.md/support.php?id=4 Я настроил маскардингом - работает. Еще имейте ввиду, если делаете проброс с подменой порта, то на фаерволе надо открывать уже подмененный порт, а не тот который подменяете, так как подмена портов происходит, до отработки правил фаервола. > сурс - дистанишн ? это как?! Я даже такого пункта в настройке ната не нашел. Изменено 14 марта, 2013 пользователем artsnz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 14 марта, 2013 · Жалоба Пример исходящего NAT(Masquerading)Если вы хотите "скрыть" локальную сеть 192.168.0.0/24 одним адресом 10.5.8.109 выданный вам представителем Интернет услуг, вам необходимо использовать трансляцию адреса источника например с по мощью (masquerad i n g ) средства MikroTik маршрутизатора. Masquerading будет подменять IP адрес и порт источника пакета порожденного в сети 192.168.0.0/24 на адрес маршрутизатора 10.5.8.109 когда пакет будет проходить через него. Для использования masqueradin g, в конфигурацию межсетевого экрана необходимо добавить действие 'masquerading': /ip firewall nat add chain=srcnat action=masquerade out - interface=Public Во всех исходящих соединениях из сети 192.168.0.0/24 адрес источника будет изменен на адрес маршрути затора 10.5.8.109 и порт выше 1024. Доступ к локальным адресам из Интернета не возможен. Если вы хотите разрешить соединения к серверу в локальной сети, то вам необходимо использовать трансляцию адреса назначения(DST - NAT). Пример использования DST - NAT Есл и вы хотите выставить наружу хост с адресом 192.168.0.109 так чтобы он выглядел как 10.5.8.200, то вам необходимо использовать трансляцию адреса назначения. Таким образом вы можете например выставить наружу сервер находящейся в локальной сети с реальным IP адресом. Для начала добавляем реальный IP адрес на внешний интерфейс: /ip address add address=10.5.8.200/ 32 interface = Public Добавляем правило разрешающее доступ к локальному серверу из внешней сети /ip firewall nat add chain=dstnat dst - address=10.5.8.200 action=dst - nat to - addresses=192.168.0.109 Добавляем правило для трансляции исходящего адреса локального сервера во внешний адрес маршрутизатора /ip firewall nat add chain=srcnat src - address=192.168. 0.109 action=src - nat to - addresses=10.5.8.200 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artsnz Опубликовано 14 марта, 2013 (изменено) · Жалоба Для ната: / ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect in" disabled=no / ip firewall nat add chain=srcnat src-address=10.0.0.10 protocol=tcp src-port=33 action=src-nat to-addresses=91.xxx.xxx.xxx to-ports=33 comment="SSH redirect out" disabled=no Для фаервола: / ip firewall filter add chain=input dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Если что вот еще одна инструкция: http://wiki.mikrotik.com/wiki/NAT_Tutorial Изменено 14 марта, 2013 пользователем artsnz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...