Jump to content

[РЕШЕНО] Обход NAT

a-zazell
 Share

Recommended Posts

a-zazell

a-zazell

Posted
Posted (edited)

Статика к приватной сети через IP с NAT дает доступ к внутренним хостам:

 

#sh ip route 192.168.88.100
Routing entry for 192.168.88.0/24
 Known via "static", distance 1, metric 0
 Routing Descriptor Blocks:
 ...
 * 1.1.1.2
 ...

 

#ping 192.168.88.100

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.88.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

 

На mikrotik:

 

[admin@MikroTik] > ip address print 
Flags: X - disabled, I - invalid, D - dynamic 
#   ADDRESS            NETWORK         INTERFACE                                                                                                                   
0   192.168.88.1/24    192.168.88.0    ether2                                                                                                                      
1   1.1.1.2/30         1.1.1.0        ether1                                                                                                                      
[admin@MikroTik] > ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
0   chain=srcnat action=masquerade out-interface=ether1

 

Не соображу как отфильтровать такой трафик?

Edited by a-zazell
a-zazell

a-zazell

Posted
  • Author
Posted

Ага, нашел:

 

[admin@MikroTik] > ip firewall mangle print 
Flags: X - disabled, I - invalid, D - dynamic 
0   chain=prerouting action=mark-packet new-packet-mark=mark passthrough=no dst-address=192.168.88.0/24 in-interface=ether1 
[admin@MikroTik] > ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
0   chain=forward action=drop packet-mark=mark

a-zazell

a-zazell

Posted
  • Author
Posted

лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет

 

Покажите как в фильтре дропнуть.

  • 2 years later...
a-zazell

a-zazell

Posted
  • Author
Posted

лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет

 

Покажите как в фильтре дропнуть.

 

Дефолтное правило появилось, похоже по теме:

 

/ip firewall filter
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.