[lousx]

/ ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect" disabled=no
/ ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no

 

Не работает и все тут.

ЧЯДНТ?

 

Пробовал указывать in-interface. Пробовал отрубать все правила на фаере и разрешать всё. Не коннектится и все тут.

[polmax]

dst-port=33 action=accept comment="SSH redirect"

ошибки нет?

SSH же по умолчанию 22 порт слушает.

[lousx]

нет. айдека. удаленный помощник по ssh работает на 33 порту.

[The Ripper]

вторая строка s/dst-address=91.xxx.xxx.xxx/dst-address=10.0.0.10/

[Ivan_83]

Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила.

Если он сбоку и шлюзом другой, тогда по аналогии: http://www.netlab.linkpc.net/forum/index.php?topic=645.0

В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт.

[alex006]

ssh это udp протокол а не tcp!

[pppoetest]

ssh это udp протокол а не tcp!

=0 омфг

Изменено 12 марта, 2013 пользователем pppoetest

[alex006]

ssh это udp протокол а не tcp!

=0 омфг

Да уж вы правы, согласен затупил...

[lousx]

Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила.

так

В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт.

А как же ответ на запрос? Ни каких двух правил не должно быть. Исходящих соединений с сервера 10.0.0.10 нет.

 

Даже счетчики не мотают на микротике. Якобы пакеты даже не приходят.

 

http://ультратонкиеклиенты.рф/in/mikrotik/redirect_ports не работает

http://wiki.m-tel.net/2011/08/01/%D0%BF%D1%80%D0%BE%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%BE%D1%80%D1%82%D0%B0-%D0%B2-mikrotik/ не работает

Изменено 13 марта, 2013 пользователем lousx

[The Ripper]

Вы как считаете, с каким dst-address пойдет пакет в таблицу forward после того, как в nat вы сделали dstnat ? :)

Намек в 4 посте.

Дополнительно srcnat с адресом внутреннего интерфейса надо делать, если на целевой железке нет маршрута 0.0.0.0/0 через ваш же микротик.

[Ivan_83]

А как же ответ на запрос?

Я не пользуюсь мт и рисовать вам правила не стану.

Два варианта потому что вы в вопросе дали не достаточно информации о настройке сети.

Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают.

[lousx]

Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают.

Одно могу сказать точно. На микротик в 33 порт ничего не прилетает, ибо счетчик пакетов понулям.

Либо это правило не корректно:

/ ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no

Изменено 13 марта, 2013 пользователем lousx

[artsnz]

 

chain=forward

 

Почему форвард?

 

Очередность правил Фаервола проверяйте! В WinBox кстати это более наглядно, правила выполняются от первого к последнему. И еще если фаер настраивали через веб интерфейс, то проверьте chain, куда идет трафик на input или customer.

 

Есть хорошая инструкция для новичков по пробросу портов в Nat'е на микротике:

Изменено 14 марта, 2013 пользователем artsnz

[lousx]

Может проблема в том, что у меня нат не маскарадингом, а сурс - дистанишн ?

 

в фаере правло первым ставлю

Изменено 14 марта, 2013 пользователем lousx

[artsnz]

Нашел целый раздел по настройке Микротика и НАТа в том числе: http://aitec.md/support.php?id=4

 

Я настроил маскардингом - работает. Еще имейте ввиду, если делаете проброс с подменой порта, то на фаерволе надо открывать уже подмененный порт, а не тот который подменяете, так как подмена портов происходит, до отработки правил фаервола.

 

> сурс - дистанишн ?

это как?! Я даже такого пункта в настройке ната не нашел.

Изменено 14 марта, 2013 пользователем artsnz

[lousx]

Пример исходящего NAT(Masquerading)

Если вы хотите "скрыть" локальную сеть 192.168.0.0/24 одним адресом 10.5.8.109

выданный вам

представителем

Интернет

услуг, вам необходимо

использовать

трансляцию

адреса источника например с по

мощью (masquerad

i

n

g

) средства MikroTik

маршрутизатора. Masquerading будет подменять IP адрес и порт источника пакета

порожденного в сети 192.168.0.0/24 на адрес маршрутизатора 10.5.8.109 когда пакет будет

проходить через него. Для использования masqueradin

g, в конфигурацию межсетевого

экрана необходимо добавить действие 'masquerading':

/ip firewall nat add chain=srcnat action=masquerade out

-

interface=Public

Во всех исходящих соединениях из сети 192.168.0.0/24 адрес источника будет изменен на

адрес маршрути

затора 10.5.8.109 и порт выше 1024. Доступ к локальным адресам из

Интернета

не возможен. Если вы хотите разрешить соединения к серверу в локальной

сети, то вам необходимо использовать трансляцию адреса назначения(DST

-

NAT).

Пример использования DST

-

NAT

Есл

и вы хотите выставить наружу хост с адресом 192.168.0.109 так чтобы он выглядел как

10.5.8.200, то вам необходимо использовать трансляцию адреса назначения. Таким

образом вы можете например выставить наружу сервер находящейся в локальной сети с

реальным IP

адресом. Для начала добавляем реальный IP адрес на внешний интерфейс:

/ip address add address=10.5.8.200/

32

interface

=

Public

Добавляем правило разрешающее доступ к локальному серверу из внешней сети

/ip firewall nat add chain=dstnat dst

-

address=10.5.8.200 action=dst

-

nat to

-

addresses=192.168.0.109

Добавляем правило для трансляции исходящего адреса локального сервера во внешний

адрес маршрутизатора

/ip firewall nat add chain=srcnat src

-

address=192.168.

0.109 action=src

-

nat

to

-

addresses=10.5.8.200

[artsnz]

Для ната:

/ ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect in" disabled=no
/ ip firewall nat add chain=srcnat src-address=10.0.0.10 protocol=tcp src-port=33 action=src-nat to-addresses=91.xxx.xxx.xxx to-ports=33 comment="SSH redirect out" disabled=no

 

Для фаервола:

/ ip firewall filter add chain=input dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no

 

Если что вот еще одна инструкция: http://wiki.mikrotik.com/wiki/NAT_Tutorial

Изменено 14 марта, 2013 пользователем artsnz