Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Mikrotik wiele adresów IP zewnętrznych

25 Feb 2015 15:51 3222 5
  • Level 9  
    Witam

    Mam pytanie odnośnie konfiguracji Mikrotika - mam od providera dostarczonych 10 zewnętrznych adresów IP.

    Bez problemu skonfigurowałem Mikrotika tak żeby obsługiwał mi sieć używając jednego z tych adresów, ale chciałbym wystawić inne usługi np www na innym adresie zewnętrzym IP i odpowiednio przekierować porty danej usługi na adres w sieci lokalnej.
    No i trochę się gubię, bo nie wiem w zasadzie jak to zrobić...

    Od czego zacząć? Ekspertem sieciowym to nie jestem...
  • Level 38  
    palmall wrote:
    Witam

    Mam pytanie odnośnie konfiguracji Mikrotika - mam od providera dostarczonych 10 zewnętrznych adresów IP.

    Bez problemu skonfigurowałem Mikrotika tak żeby obsługiwał mi sieć używając jednego z tych adresów, ale chciałbym wystawić inne usługi np www na innym adresie zewnętrzym IP i odpowiednio przekierować porty danej usługi na adres w sieci lokalnej.
    No i trochę się gubię, bo nie wiem w zasadzie jak to zrobić...

    Od czego zacząć? Ekspertem sieciowym to nie jestem...

    Przekirowowanie portow do wewnatrz sieci lokalnej, zawsze sie wiaze z mozliwoscia wlamania do tej sieci lokalnej.

    Majac 10 adresow publicznych od providera nie musisz tego robic.

    W takim przypadku sie najczesciej robi tzw DMZ. Czyli ze strony WAN robisz jedna podsiec i w niej stawiasz kopmutery ktore maja byc dostepne z internetu. Na mikrotiku otwierasz na firewallu tylko potrzebne porty (bez jakiegokolwiek przekierowywania).

    W praktyce, łaczysz 2 lub wiecej portow MT w switch WAN. Kopmuterowi ktory ma byc dostepny z neta nadajesz jeden ze swoich adresow publicznych. I bangla. A to co sieci lokalnej pozostaje za NATem i fireewallem, wiec z zalozenia jest bezpieczniejsze.




    marcin

    Dodano po 27 [minuty]:

    Zle Ci napisalem.


    Do DMZ;a konfigurujesz 3 interfejsy na routerze.
    1 to normalny WAN jaki juz masz.
    2. Na drugim wydzielasz np 8 adresow IP o robisz osobna podsiec, w ktorej stoja Twoje "serwery".
    3 to siec lokalna.

    Przez firwall przepuszczasz z 1 do 2 tylko wybrany ruch na wybranych portach (np 80 na strone www). Reszta portow pozamykana.

    Z LAN robisz NAT do sieci DMZ. Mozesz pozwolic na dowlny ruch z sieci LAN do DMZ, ale nie odwrotnie (jak ktos sie wlamie do serwera nie bedzie mial z automatu otwartej drogi do sieci LAN)/

    Z LAN robisz drugi NAT do WAN.
  • Level 9  
    Nom to wiem że się wiąże z możliwością włamania, ale nie mam wyboru, muszę wystawić na zewnątrz serwer IISa i RDP. Działa wszystko na MS WS2012R2 z domeną zabezpieczoną w miarę.

    Na Mikrotiku będzie zablokowane wszystko, oprócz tego co ma być otwarte. Chyba wykminiłem w międzyczasie.

    Mam tak zrobione:
    - w address list dodałem zewnętrzene IP do eth1
    - w firewall filter dodałem accept forward tcp port 3389
    - w firewall filter dodałem accept input dst.address x.x.x.x tcp 3389 eth1
    - w nat dodałem:
    dst-nat x.x.x.x tcp dst.port 3389 eth1 to.address 192.168.1.10 3389
    dst-nat x.x.x.y tcp dst.port 3389 eth1 to.address 192.168.1.10 3389

    i bangla, na obydwu ip mam rdp. Testowo tylko póki co:)

    Nie kumam tylko tych input i forward. Bo tak, jeżeli mam zrobioną zasadę na forward tcp 3389 to działa. Ale jak zrobię ją na input tcp 3389 to nie działa. Jaka jest różnica między input a forward?

    I w zasadzie mogę wywalić tą linijkę z filtra accept input dst.address x.x.x.x tcp 3389 eth1. Bez tego też chodzi.
  • Level 11  
    Do łańcucha input trafia ruch kierowany do routera, a nie przechodzący przez niego.
  • Level 19  
    Co działa na tym IIS, że musi być wystawione do świata?
    Podłączenie RDP sugeruje, że może być to jakiś serwer developerski albo jakiegoś wewnętrznego systemu (księgowość?)
    Z reguły takie wystawianie usługo do świata może doprowadzić do przełamania zabezpieczeń serwera wystawionego, a mając go w tej samej strefie sieci co inne komputery (LAN) eskalacja ataku będzie dużo łatwiejsza.

    Zrób tak jak pisze m.jastrzebski jeżeli to serwisy dostępne dla świata (np. strona www firmy)
    Jeżeli to serwer developerski i dostęp do niego ma mieć ograniczona ilość osób, schowaj go w oddzielnym segmencie sieci i daj dostęp do tego segmenu/serwera zainteresowanym przez VPN.
  • Level 9  
    No musi być wystawione i tyle, nie ma innej opcji żeby to postawić gdzieś indziej, przenieść, zmienić... tam ma być i tak było od lat i nic się jakoś nie działo.

    Ale dalej mam problemy z tym. Znaczy generalnie tylko z http.
    Sytuacja jest taka że serwer z IIS sobie działa, jest dostępny wewnątrz sieci, mogę się logować do aplikacji itp.

    Ma to działać na jakiejś tam domenie, zrobiłem wpisy dla domeny że kierują ja na adres 32.33.34.35 (przykładowo).
    Załóżmy że IIS działa sobie na 192.18.0.50.
    W zasadzie powinno to być proste, robie w NAT wpis

    add action=dst-nat chain=dstnat comment="IIS" disabled=yes dst-address=32.33.34.35 dst-port=80 \
    in-interface=ether1 protocol=tcp to-addresses=192.168.0.50 to-ports=80

    I powinno chodzić... przynajmniej na poprzednim routerze to mi załatwiało sprawę. A tutaj nie mogę się dostać w ogóle do tej aplikacji z zewnątrz.
    Nawet po wklepaniu z zewnątrz IP nie przekierowuje mnie na ten komputer w sieci.

    Co jeszcze musze odblokować na tym routerze?

    Dodano po 46 [minuty]:

    add chain=forward comment=HTTP connection-state=new dst-port=80 protocol=tcp src-port=""