Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Przekierowanie portu mikrotik

darekwilno 12 Sty 2019 21:35 162 9
  • #1 12 Sty 2019 21:35
    darekwilno
    Poziom 3  

    Nie mogę połączyć się z domu do komputera w innej sieci na którym zainstalowałem cerberusa.
    Nadałem mu port 4444 https
    w Mikrotiku wpisałem

    Code:

    chain=dstnat action=dst-nat to-addresses=10.0.4.146 to-ports=4444 protocol=tcp dst-address=000.00.000.000 dst-port=3333 log=no log-prefix=""

    Na komputerze serwera wpisuje 10.0.4.146 i pojawia mi się ekran logowania
    Z domu wpisuję 000.00.000.000:3333 i głucho

    W komputerze wyłączyłem firewalle. Router obsługujący server Cerberusa podłączony jest do zewnętrznego ip.

    Proszę o pomoc

    0 9
  • #2 12 Sty 2019 21:40
    czuker
    Poziom 24  

    A czy przypadkiem nie trzeba jeszcze dopisać reguły na FW?

    0
  • #3 12 Sty 2019 21:48
    darekwilno
    Poziom 3  

    dopisałem coś takiego jako pierwszą regułę, ale dalej nie działa

    Code:

    chain=input action=accept protocol=tcp dst-address=10.0.4.146 src-port=3333 dst-port=4444 log=no log-prefix=""

    Jakiś pomysł co może być jeszcze nie tak?

    0
  • #4 12 Sty 2019 22:43
    czuker
    Poziom 24  

    Zmień łańcuch z input na forward.

    Choć pisze z pamięci, nie mam przy sobie pudełka.

    Zaraz, zaraz, naprawdę wpisujesz "000.00.000.000:3333" czy to skrót myślowy?
    Bo to oczywiście nie zadziała

    0
  • #5 12 Sty 2019 22:49
    m.jastrzebski
    Poziom 36  

    darekwilno napisał:
    dopisałem coś takiego jako pierwszą regułę, ale dalej nie działa
    Code:

    chain=input action=accept protocol=tcp dst-address=10.0.4.146 src-port=3333 dst-port=4444 log=no log-prefix=""

    Jakiś pomysł co może być jeszcze nie tak?


    Chyba zły chain. Zamiast input powinien forward.
    Pakiet przychodzi do routera, z adresem publiczny. W sekcji prerouting, podejmowana jest decyzja czy skierować pakiet do input, czy do forward. Ale w sekcji prerouting jest robiony też DNAT. Czyli po translacji adresu do 10.0.4.146 pakiet trafi do forward a nie input.

    0
  • #6 12 Sty 2019 23:57
    darekwilno
    Poziom 3  

    czuker napisał:
    Zaraz, zaraz, naprawdę wpisujesz "000.00.000.000:3333" czy to skrót myślowy?

    Zamiast zer jest adres ip.
    m.jastrzebski napisał:
    Chyba zły chain. Zamiast input powinien forward.

    Poprawiłem, ale dalej mi nie łączy.

    0
  • #7 13 Sty 2019 07:38
    m.jastrzebski
    Poziom 36  

    Wywal z reguly firewall src port=3333

    0
  • #8 13 Sty 2019 08:28
    GrandMasterT
    Poziom 23  

    W niektórych konfiguracjach, gdzie port zewnętrzny różni się od wewnętrznego, trzeba dodać regułę akceptującą pakiet przychodzący w łańcuchu input - z zewnętrznym portem i dopiero wtedy działa reguła w łańcuchu forward, ta z wewnętrznym portem. Dlaczego tak jest nie wiem, ale mam kilka mikrotików z dość rozbudowanym firewallem (powycinane wszystko co niepotrzebnie ma do niego/przez niego nie przechodzić) i w każdym występuje sytuacja j/w. Pewnie da się to zrobić w inny sposób, ale z racji że mi działa, nie szukam dziury w całym.

    0
  • #9 13 Sty 2019 18:31
    markooff
    Poziom 13  

    Spotkałem się z podobną sytuacją w kilku (nie koniecznie mikrotikowych) zwłaszcza sprzętowych implementacjach fw statefull inspection . Też mnie to zdziwiło bo w sumie według klasyka i takiegoż podejścia po podjęciu decyzji o routingu każda z dróg powinna działać dalej niezależnie . Patrz poniższy diagram :
    Przekierowanie portu mikrotik

    na przykładzie z iptables tutorial by Oscar Andreasson
    (małymi literami oznaczone są tablice dużymi łańcuchy)


    Ale to tylko przykład - bo w sumie organizacja łańcuchów może być bardziej dowolna a jest też możliwość ich (bardziej ruchu) zapętlania i choćby z tej przyczyny może jest tak że producent (Autor firmware'u) zaplanował sobie że dla lepszej jasności /kontroli filtrowanie tego CO W OGÓLE JEST WPUSZCZANE czy to do hosta czy od sieci będzie realizaował w jednym konkretnie łańcuchu - i padło na INPUT...

    0
  • #10 13 Sty 2019 20:26
    GrandMasterT
    Poziom 23  

    Ja długo analizowałem sytuację, ponieważ mnie to trochę zdziwiło. Jeżeli porty na publicznym IP i wewnętrznym są takie same, nie ma problemu - nic do input nie trzeba dodawać i elegancko śmiga. Dopiero jeżeli są różne, to pakiet który nie jest zaakceptowany w łańcuchu input, do łańcucha forward w ogóle nie dotrze. Ja sobie to tłumaczę w taki sposób, że pakiet musi przejść obróbkę przez CPU routera - zmiana portów, a wszystko co kierowane jest do samego routera - musi wejść na łańcuch input.

    Wydaje mi się też, że do dopóki nie "uszczelniłem" fw przez totalne wycięcie wszystkiego co jest mi zbędne, problemu nie było. Pewnie jakaś ogólna reguła załatwiała sprawę. Nawet mam na liście zadań sprawdzenie tego kiedyś na Mikrotiku z podstawową konfiguracją, ale nie mam kiedy.

    0