Firewall

fala

Zdravím,

potřeboval bych poradit jak na přesměrování portů na server.

Na adrese 192.168.0.103 mám server s pevnou IP adresou na kterém mi běží IIS a pošta a pod. Proto bych sem chtěl směrovat porty 80, 110, 25 apod. Udělal jsem dstnat na local-bridge na 192.168.0.103. tohle se zdá, že funguje, ale když z klientského počítače zadám v prohlížeči :)

Můžete mi prosím vysvětlit, jak to správně filtrovat?

Díky

petrs_

dej si tam do pravidel ještě že ten požadavek musí přijít s cílovou adresou na tvoji veřejku...

fala

aha, já si s tím lámu hlavu a taková prkotina. Dík

fala

tak ten problém je větší než jsem myslel. Když tam dám omezení, že to musí přijít z venku, tak z venku to funguje, ale z mojí sítě nikoliv.

mazzalo

Ahoj, dej sem výpis konfigurace...

petrs_

No jasně. Zvenku to jde protože se uplatní pravidlo. Z vnitřní sítě to nejde, protože odchozí packety sice jdou na tvoji veřejku a nat se provede, ale odpověď jde zpět přes místní síť (už se nevrací zpět přes router). Jsou dvě možnosti. Buď se na to vykvákneš a z vnitřní sítě budeš na server chodit přes vnitřní adresu, a nebo musíš udělat Harpin NAT.

http://wiki.mikrotik.com/wiki/Hairpin_NAT

fala

ok, tak jsem to udělal tak, že dstnat jde pouze z veřejné adresy na můj server a vše zevnitř ženu ven, ať se to vrátí. tohle funguje, když je tam maškaráda z local-bridge. bohužel, maškaráda mi přeloží IP adresu na 192.168.0.1, což mi sakra vadí na poštovním serveru.

/ip firewall filter

add chain=input comment=ping protocol=icmp

add chain=input comment="p\F8\EDstup z internetu" dst-port=\

80,443,25,110,8080-8099,8291 protocol=tcp

add chain=output protocol=tcp

add chain=output connection-state=established,related

add chain=input comment=telefon protocol=udp

add chain=forward disabled=yes protocol=udp

add chain=output protocol=udp

/ip firewall nat

add action=dst-nat chain=dstnat dst-address=85.92.63.94 dst-port=\

80,443,25,110,8080-8099 protocol=tcp to-addresses=192.168.0.103

add action=masquerade chain=srcnat out-interface=ether1-gateway protocol=tcp

add action=masquerade chain=srcnat out-interface=bridge-local protocol=tcp

mazzalo

V čem ti to vadí? Pokud máš od poskytovatele správně nastavený reverzní DNS záznam, tak žádný problém nevidím.

Sent from my iPad using Tapatalk

fala

V čem ti to vadí? Pokud máš od poskytovatele správně nastavený reverzní DNS záznam, tak žádný problém nevidím.

na mail serveru je nastaveno, že máš 3 pokusy na přihlášení z jedné IP, jinak tě na 30 min. odstaví. tzn. hacker se tam sice nedostane, ale na 30 min taky nikdo jiný bo to IP je 192.168.0.1

schrotterp

tak si tam nastav pouze src address ne vsetko