lousx Posted March 12, 2013 · Report post / ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect" disabled=no / ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Не работает и все тут. ЧЯДНТ? Пробовал указывать in-interface. Пробовал отрубать все правила на фаере и разрешать всё. Не коннектится и все тут. Share this post Link to post Share on other sites
polmax Posted March 12, 2013 · Report post dst-port=33 action=accept comment="SSH redirect" ошибки нет? SSH же по умолчанию 22 порт слушает. Share this post Link to post Share on other sites
lousx Posted March 12, 2013 · Report post нет. айдека. удаленный помощник по ssh работает на 33 порту. Share this post Link to post Share on other sites
The Ripper Posted March 12, 2013 · Report post вторая строка s/dst-address=91.xxx.xxx.xxx/dst-address=10.0.0.10/ Share this post Link to post Share on other sites
Ivan_83 Posted March 12, 2013 · Report post Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила. Если он сбоку и шлюзом другой, тогда по аналогии: http://www.netlab.linkpc.net/forum/index.php?topic=645.0 В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт. Share this post Link to post Share on other sites
alex006 Posted March 12, 2013 · Report post ssh это udp протокол а не tcp! Share this post Link to post Share on other sites
pppoetest Posted March 12, 2013 (edited) · Report post ssh это udp протокол а не tcp! =0 омфг Edited March 12, 2013 by pppoetest Share this post Link to post Share on other sites
alex006 Posted March 12, 2013 · Report post ssh это udp протокол а не tcp! =0 омфг Да уж вы правы, согласен затупил... Share this post Link to post Share on other sites
lousx Posted March 13, 2013 (edited) · Report post Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила. так В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт. А как же ответ на запрос? Ни каких двух правил не должно быть. Исходящих соединений с сервера 10.0.0.10 нет. Даже счетчики не мотают на микротике. Якобы пакеты даже не приходят. http://ультратонкиеклиенты.рф/in/mikrotik/redirect_ports не работает http://wiki.m-tel.net/2011/08/01/%D0%BF%D1%80%D0%BE%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%BE%D1%80%D1%82%D0%B0-%D0%B2-mikrotik/ не работает Edited March 13, 2013 by lousx Share this post Link to post Share on other sites
The Ripper Posted March 13, 2013 · Report post Вы как считаете, с каким dst-address пойдет пакет в таблицу forward после того, как в nat вы сделали dstnat ? :) Намек в 4 посте. Дополнительно srcnat с адресом внутреннего интерфейса надо делать, если на целевой железке нет маршрута 0.0.0.0/0 через ваш же микротик. Share this post Link to post Share on other sites
Ivan_83 Posted March 13, 2013 · Report post А как же ответ на запрос? Я не пользуюсь мт и рисовать вам правила не стану. Два варианта потому что вы в вопросе дали не достаточно информации о настройке сети. Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают. Share this post Link to post Share on other sites
lousx Posted March 13, 2013 (edited) · Report post Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают. Одно могу сказать точно. На микротик в 33 порт ничего не прилетает, ибо счетчик пакетов понулям. Либо это правило не корректно: / ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Edited March 13, 2013 by lousx Share this post Link to post Share on other sites
artsnz Posted March 14, 2013 (edited) · Report post chain=forward Почему форвард? Очередность правил Фаервола проверяйте! В WinBox кстати это более наглядно, правила выполняются от первого к последнему. И еще если фаер настраивали через веб интерфейс, то проверьте chain, куда идет трафик на input или customer. Есть хорошая инструкция для новичков по пробросу портов в Nat'е на микротике: Edited March 14, 2013 by artsnz Share this post Link to post Share on other sites
lousx Posted March 14, 2013 (edited) · Report post Может проблема в том, что у меня нат не маскарадингом, а сурс - дистанишн ? в фаере правло первым ставлю Edited March 14, 2013 by lousx Share this post Link to post Share on other sites
artsnz Posted March 14, 2013 (edited) · Report post Нашел целый раздел по настройке Микротика и НАТа в том числе: http://aitec.md/support.php?id=4 Я настроил маскардингом - работает. Еще имейте ввиду, если делаете проброс с подменой порта, то на фаерволе надо открывать уже подмененный порт, а не тот который подменяете, так как подмена портов происходит, до отработки правил фаервола. > сурс - дистанишн ? это как?! Я даже такого пункта в настройке ната не нашел. Edited March 14, 2013 by artsnz Share this post Link to post Share on other sites
lousx Posted March 14, 2013 · Report post Пример исходящего NAT(Masquerading)Если вы хотите "скрыть" локальную сеть 192.168.0.0/24 одним адресом 10.5.8.109 выданный вам представителем Интернет услуг, вам необходимо использовать трансляцию адреса источника например с по мощью (masquerad i n g ) средства MikroTik маршрутизатора. Masquerading будет подменять IP адрес и порт источника пакета порожденного в сети 192.168.0.0/24 на адрес маршрутизатора 10.5.8.109 когда пакет будет проходить через него. Для использования masqueradin g, в конфигурацию межсетевого экрана необходимо добавить действие 'masquerading': /ip firewall nat add chain=srcnat action=masquerade out - interface=Public Во всех исходящих соединениях из сети 192.168.0.0/24 адрес источника будет изменен на адрес маршрути затора 10.5.8.109 и порт выше 1024. Доступ к локальным адресам из Интернета не возможен. Если вы хотите разрешить соединения к серверу в локальной сети, то вам необходимо использовать трансляцию адреса назначения(DST - NAT). Пример использования DST - NAT Есл и вы хотите выставить наружу хост с адресом 192.168.0.109 так чтобы он выглядел как 10.5.8.200, то вам необходимо использовать трансляцию адреса назначения. Таким образом вы можете например выставить наружу сервер находящейся в локальной сети с реальным IP адресом. Для начала добавляем реальный IP адрес на внешний интерфейс: /ip address add address=10.5.8.200/ 32 interface = Public Добавляем правило разрешающее доступ к локальному серверу из внешней сети /ip firewall nat add chain=dstnat dst - address=10.5.8.200 action=dst - nat to - addresses=192.168.0.109 Добавляем правило для трансляции исходящего адреса локального сервера во внешний адрес маршрутизатора /ip firewall nat add chain=srcnat src - address=192.168. 0.109 action=src - nat to - addresses=10.5.8.200 Share this post Link to post Share on other sites
artsnz Posted March 14, 2013 (edited) · Report post Для ната: / ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect in" disabled=no / ip firewall nat add chain=srcnat src-address=10.0.0.10 protocol=tcp src-port=33 action=src-nat to-addresses=91.xxx.xxx.xxx to-ports=33 comment="SSH redirect out" disabled=no Для фаервола: / ip firewall filter add chain=input dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Если что вот еще одна инструкция: http://wiki.mikrotik.com/wiki/NAT_Tutorial Edited March 14, 2013 by artsnz Share this post Link to post Share on other sites
