lousx Опубликовано 12 марта, 2013 / ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect" disabled=no / ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Не работает и все тут. ЧЯДНТ? Пробовал указывать in-interface. Пробовал отрубать все правила на фаере и разрешать всё. Не коннектится и все тут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
polmax Опубликовано 12 марта, 2013 dst-port=33 action=accept comment="SSH redirect" ошибки нет? SSH же по умолчанию 22 порт слушает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 12 марта, 2013 нет. айдека. удаленный помощник по ssh работает на 33 порту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
The Ripper Опубликовано 12 марта, 2013 вторая строка s/dst-address=91.xxx.xxx.xxx/dst-address=10.0.0.10/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 марта, 2013 Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила. Если он сбоку и шлюзом другой, тогда по аналогии: http://www.netlab.linkpc.net/forum/index.php?topic=645.0 В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex006 Опубликовано 12 марта, 2013 ssh это udp протокол а не tcp! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 12 марта, 2013 (изменено) ssh это udp протокол а не tcp! =0 омфг Изменено 12 марта, 2013 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex006 Опубликовано 12 марта, 2013 ssh это udp протокол а не tcp! =0 омфг Да уж вы правы, согласен затупил... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 13 марта, 2013 (изменено) Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила. так В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт. А как же ответ на запрос? Ни каких двух правил не должно быть. Исходящих соединений с сервера 10.0.0.10 нет. Даже счетчики не мотают на микротике. Якобы пакеты даже не приходят. http://ультратонкиеклиенты.рф/in/mikrotik/redirect_ports не работает http://wiki.m-tel.net/2011/08/01/%D0%BF%D1%80%D0%BE%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%BE%D1%80%D1%82%D0%B0-%D0%B2-mikrotik/ не работает Изменено 13 марта, 2013 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
The Ripper Опубликовано 13 марта, 2013 Вы как считаете, с каким dst-address пойдет пакет в таблицу forward после того, как в nat вы сделали dstnat ? :) Намек в 4 посте. Дополнительно srcnat с адресом внутреннего интерфейса надо делать, если на целевой железке нет маршрута 0.0.0.0/0 через ваш же микротик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 марта, 2013 А как же ответ на запрос? Я не пользуюсь мт и рисовать вам правила не стану. Два варианта потому что вы в вопросе дали не достаточно информации о настройке сети. Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 13 марта, 2013 (изменено) Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают. Одно могу сказать точно. На микротик в 33 порт ничего не прилетает, ибо счетчик пакетов понулям. Либо это правило не корректно: / ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Изменено 13 марта, 2013 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artsnz Опубликовано 14 марта, 2013 (изменено) chain=forward Почему форвард? Очередность правил Фаервола проверяйте! В WinBox кстати это более наглядно, правила выполняются от первого к последнему. И еще если фаер настраивали через веб интерфейс, то проверьте chain, куда идет трафик на input или customer. Есть хорошая инструкция для новичков по пробросу портов в Nat'е на микротике: Изменено 14 марта, 2013 пользователем artsnz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 14 марта, 2013 (изменено) Может проблема в том, что у меня нат не маскарадингом, а сурс - дистанишн ? в фаере правло первым ставлю Изменено 14 марта, 2013 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artsnz Опубликовано 14 марта, 2013 (изменено) Нашел целый раздел по настройке Микротика и НАТа в том числе: http://aitec.md/support.php?id=4 Я настроил маскардингом - работает. Еще имейте ввиду, если делаете проброс с подменой порта, то на фаерволе надо открывать уже подмененный порт, а не тот который подменяете, так как подмена портов происходит, до отработки правил фаервола. > сурс - дистанишн ? это как?! Я даже такого пункта в настройке ната не нашел. Изменено 14 марта, 2013 пользователем artsnz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 14 марта, 2013 Пример исходящего NAT(Masquerading)Если вы хотите "скрыть" локальную сеть 192.168.0.0/24 одним адресом 10.5.8.109 выданный вам представителем Интернет услуг, вам необходимо использовать трансляцию адреса источника например с по мощью (masquerad i n g ) средства MikroTik маршрутизатора. Masquerading будет подменять IP адрес и порт источника пакета порожденного в сети 192.168.0.0/24 на адрес маршрутизатора 10.5.8.109 когда пакет будет проходить через него. Для использования masqueradin g, в конфигурацию межсетевого экрана необходимо добавить действие 'masquerading': /ip firewall nat add chain=srcnat action=masquerade out - interface=Public Во всех исходящих соединениях из сети 192.168.0.0/24 адрес источника будет изменен на адрес маршрути затора 10.5.8.109 и порт выше 1024. Доступ к локальным адресам из Интернета не возможен. Если вы хотите разрешить соединения к серверу в локальной сети, то вам необходимо использовать трансляцию адреса назначения(DST - NAT). Пример использования DST - NAT Есл и вы хотите выставить наружу хост с адресом 192.168.0.109 так чтобы он выглядел как 10.5.8.200, то вам необходимо использовать трансляцию адреса назначения. Таким образом вы можете например выставить наружу сервер находящейся в локальной сети с реальным IP адресом. Для начала добавляем реальный IP адрес на внешний интерфейс: /ip address add address=10.5.8.200/ 32 interface = Public Добавляем правило разрешающее доступ к локальному серверу из внешней сети /ip firewall nat add chain=dstnat dst - address=10.5.8.200 action=dst - nat to - addresses=192.168.0.109 Добавляем правило для трансляции исходящего адреса локального сервера во внешний адрес маршрутизатора /ip firewall nat add chain=srcnat src - address=192.168. 0.109 action=src - nat to - addresses=10.5.8.200 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artsnz Опубликовано 14 марта, 2013 (изменено) Для ната: / ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect in" disabled=no / ip firewall nat add chain=srcnat src-address=10.0.0.10 protocol=tcp src-port=33 action=src-nat to-addresses=91.xxx.xxx.xxx to-ports=33 comment="SSH redirect out" disabled=no Для фаервола: / ip firewall filter add chain=input dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no Если что вот еще одна инструкция: http://wiki.mikrotik.com/wiki/NAT_Tutorial Изменено 14 марта, 2013 пользователем artsnz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...