Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Przekierowanie portu mikrotik

12 Jan 2019 21:35 645 9
  • Level 3  
    Nie mogę połączyć się z domu do komputera w innej sieci na którym zainstalowałem cerberusa.
    Nadałem mu port 4444 https
    w Mikrotiku wpisałem
    Code:

    chain=dstnat action=dst-nat to-addresses=10.0.4.146 to-ports=4444 protocol=tcp dst-address=000.00.000.000 dst-port=3333 log=no log-prefix=""

    Na komputerze serwera wpisuje 10.0.4.146 i pojawia mi się ekran logowania
    Z domu wpisuję 000.00.000.000:3333 i głucho

    W komputerze wyłączyłem firewalle. Router obsługujący server Cerberusa podłączony jest do zewnętrznego ip.

    Proszę o pomoc
  • Level 25  
    A czy przypadkiem nie trzeba jeszcze dopisać reguły na FW?
  • Level 3  
    dopisałem coś takiego jako pierwszą regułę, ale dalej nie działa
    Code:

    chain=input action=accept protocol=tcp dst-address=10.0.4.146 src-port=3333 dst-port=4444 log=no log-prefix=""

    Jakiś pomysł co może być jeszcze nie tak?
  • Level 25  
    Zmień łańcuch z input na forward.

    Choć pisze z pamięci, nie mam przy sobie pudełka.

    Zaraz, zaraz, naprawdę wpisujesz "000.00.000.000:3333" czy to skrót myślowy?
    Bo to oczywiście nie zadziała
  • Level 38  
    darekwilno wrote:
    dopisałem coś takiego jako pierwszą regułę, ale dalej nie działa
    Code:

    chain=input action=accept protocol=tcp dst-address=10.0.4.146 src-port=3333 dst-port=4444 log=no log-prefix=""

    Jakiś pomysł co może być jeszcze nie tak?


    Chyba zły chain. Zamiast input powinien forward.
    Pakiet przychodzi do routera, z adresem publiczny. W sekcji prerouting, podejmowana jest decyzja czy skierować pakiet do input, czy do forward. Ale w sekcji prerouting jest robiony też DNAT. Czyli po translacji adresu do 10.0.4.146 pakiet trafi do forward a nie input.
  • Level 3  
    czuker wrote:
    Zaraz, zaraz, naprawdę wpisujesz "000.00.000.000:3333" czy to skrót myślowy?

    Zamiast zer jest adres ip.
    m.jastrzebski wrote:
    Chyba zły chain. Zamiast input powinien forward.

    Poprawiłem, ale dalej mi nie łączy.
  • Level 24  
    W niektórych konfiguracjach, gdzie port zewnętrzny różni się od wewnętrznego, trzeba dodać regułę akceptującą pakiet przychodzący w łańcuchu input - z zewnętrznym portem i dopiero wtedy działa reguła w łańcuchu forward, ta z wewnętrznym portem. Dlaczego tak jest nie wiem, ale mam kilka mikrotików z dość rozbudowanym firewallem (powycinane wszystko co niepotrzebnie ma do niego/przez niego nie przechodzić) i w każdym występuje sytuacja j/w. Pewnie da się to zrobić w inny sposób, ale z racji że mi działa, nie szukam dziury w całym.
  • Level 17  
    Spotkałem się z podobną sytuacją w kilku (nie koniecznie mikrotikowych) zwłaszcza sprzętowych implementacjach fw statefull inspection . Też mnie to zdziwiło bo w sumie według klasyka i takiegoż podejścia po podjęciu decyzji o routingu każda z dróg powinna działać dalej niezależnie . Patrz poniższy diagram :
    Przekierowanie portu mikrotik

    na przykładzie z iptables tutorial by Oscar Andreasson
    (małymi literami oznaczone są tablice dużymi łańcuchy)


    Ale to tylko przykład - bo w sumie organizacja łańcuchów może być bardziej dowolna a jest też możliwość ich (bardziej ruchu) zapętlania i choćby z tej przyczyny może jest tak że producent (Autor firmware'u) zaplanował sobie że dla lepszej jasności /kontroli filtrowanie tego CO W OGÓLE JEST WPUSZCZANE czy to do hosta czy od sieci będzie realizaował w jednym konkretnie łańcuchu - i padło na INPUT...
  • Level 24  
    Ja długo analizowałem sytuację, ponieważ mnie to trochę zdziwiło. Jeżeli porty na publicznym IP i wewnętrznym są takie same, nie ma problemu - nic do input nie trzeba dodawać i elegancko śmiga. Dopiero jeżeli są różne, to pakiet który nie jest zaakceptowany w łańcuchu input, do łańcucha forward w ogóle nie dotrze. Ja sobie to tłumaczę w taki sposób, że pakiet musi przejść obróbkę przez CPU routera - zmiana portów, a wszystko co kierowane jest do samego routera - musi wejść na łańcuch input.

    Wydaje mi się też, że do dopóki nie "uszczelniłem" fw przez totalne wycięcie wszystkiego co jest mi zbędne, problemu nie było. Pewnie jakaś ogólna reguła załatwiała sprawę. Nawet mam na liście zadań sprawdzenie tego kiedyś na Mikrotiku z podstawową konfiguracją, ale nie mam kiedy.