[es] - mikrotik nat 1:1 i firewall

Joja82
Beograd

Član broj: 50336
Poruke: 346
212.200.31.*

+5 Profil

^{17.02.2009. u 14:00 - pre 184 meseci}

Pozdrav svima,

Ovako, imam mikrotik cuvenu ver. 2.9.27, na njoj imam 3 mrezne kartice,

1. Lan, 192.168.5.1
2. Wan, wireless
3, DMZ. 192.168.6.1

samo da napomenem, da na MT-u nemam wireless karticu vec se od provajderovog AP-a kabl spusta do mog MT-a.

Od provajdera imam 3mb link i blok ip adresa /29 sto ce reci 6 slobodnih. Jednu sam iskoristio za maskaradu sa lan na wan, a jednu slobodnu javnu adrersu sam mapirao na adresu racunara koji je u dmz zoni, nat 1:1 to iz primera sa mkrotik-ovog sajta. posto sam mapirao svih 65535 portova, oni su mi otvoreni.

- Moje pitanje je kako da sa spolja zabranm sav saobracaj i ostavih otvoren samo jedan port recimo 80, a svi ostali da budu zatvoreni od pristupa sa spolja?

[admin@home] ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic

0 chain=dstnat dst-address=xxx.xxx.xxx.xxx action=netmap
to-addresses=192.168.6.235 to-ports=0-65535

1 chain=srcnat src-address=192.168.6.235 action=netmap
to-addresses=xxx.xxx.xxx.xxx to-ports=0-65535

A 192.168.6.235 je adresa tog racunara.

- Ili da li je moguce to ovako napiati na ovaj nacin:

0 chain=dstnat dst-address=xxx.xxx.xxx.xxx action=netmap
to-addresses=192.168.6.235 to-ports=80

1 chain=srcnat src-address=192.168.6.235 action=netmap
to-addresses=xxx.xxx.xxx.xxx to-ports=0-65535

Pretpostavljam da na ovaj nacin sa spolja sam pustio samo 80 port a u lan mrezi su svi ovi?

Hvala unapred?

_{[Ovu poruku je menjao Joja82 dana 18.02.2009. u 09:38 GMT+1]}

Odgovor na temu

Joja82
Beograd

Član broj: 50336
Poruke: 346
212.200.31.*

+5 Profil

Re: mikrotik nat 1:1 i firewall

^{18.02.2009. u 08:31 - pre 184 meseci}

Ja sam pokusavao sa chain=input da zabranim npr remote desktop sa portom 3389 i ne radi mi a kad to isto uradim sa chain=forward on blokira ali onda blokira i iz lokalne mreze taj port pa onda nikako ne mogu da pridjem?

jel to moze ovako da se odradi:

add chain=forward action=accept protocol=tcp dst-port=80
add chain=forward protocol=icmp
add chain=forward action=drop

i da dodam da mi je in-inteface=DMZ?

Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
*.absolutok.com.

+28 Profil

Re: mikrotik nat 1:1 i firewall

^{18.02.2009. u 10:03 - pre 184 meseci}

Citat:

Moje pitanje je kako da sa spolja zabranm sav saobracaj i ostavih otvoren samo jedan port recimo 80, a svi ostali da budu zatvoreni od pristupa sa spolja?

Treba ti dst-nat

/ip firewall nat
add chain=dstnat action=dst-nat to-addresses=192.168.6.235 to-ports=80 dst-address=xx.xx.xx.xx dst-port=80 protocol=tcp

Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.

Odgovor na temu

Joja82
Beograd

Član broj: 50336
Poruke: 346
212.200.31.*

+5 Profil

Re: mikrotik nat 1:1 i firewall

^{18.02.2009. u 10:36 - pre 184 meseci}

Aha to mi je jasno tako preusmerim saobracaj. E a kako da blokiram sav ostali saobracaj sa spolja a da mi ostane taj port otvoren? To mi nije jasno? Znaci da mi bude otvoren samo port 80 i eventualno 53 za DNS?
Jel postoji ta mogucnost?

Odgovor na temu

Joja82
Beograd

Član broj: 50336
Poruke: 346
212.200.31.*

+5 Profil

Re: mikrotik nat 1:1 i firewall

^{18.02.2009. u 10:49 - pre 184 meseci}

@Acetheking,

Jesi mislio da umesto ovoga:

0 chain=dstnat dst-address=xxx.xxx.xxx.xxx action=netmap
to-addresses=192.168.6.235 to-ports=0-65535

1 chain=srcnat src-address=192.168.6.235 action=netmap
to-addresses=xxx.xxx.xxx.xxx to-ports=0-65535

Postavim ovo:

/ip firewall nat
add chain=dstnat action=dst-nat to-addresses=192.168.6.235 to-ports=80 dst-address=xx.xx.xx.xx dst-port=80 protocol=tcp

Izvini nisam malopre procitao lepo.

Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
*.absolutok.com.

+28 Profil

Re: mikrotik nat 1:1 i firewall

^{18.02.2009. u 11:14 - pre 184 meseci}

Da, obrisi ta netmap pravila i neka ti ostane samo dst-nat

Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.

Odgovor na temu

Joja82
Beograd

Član broj: 50336
Poruke: 346
212.200.31.*

+5 Profil

Re: mikrotik nat 1:1 i firewall

^{18.02.2009. u 11:17 - pre 184 meseci}

Hvala puno, probacu veceras pa cu javiti sta sam uradio.

Odgovor na temu

Joja82
Beograd

Član broj: 50336
Poruke: 346
212.200.31.*

+5 Profil

Re: mikrotik nat 1:1 i firewall

^{18.02.2009. u 11:18 - pre 184 meseci}

Hvala puno, probacu veceras pa cu javiti sta sam uradio.

Odgovor na temu

Joja82
Beograd

Član broj: 50336
Poruke: 346
212.200.31.*

+5 Profil

Re: mikrotik nat 1:1 i firewall

^{24.02.2009. u 07:59 - pre 184 meseci}

Evo da javim kao sto sto je i napisao Acetheking sam uradio i to sve radi.

ali...:)

na tom racunaru imam instaliran no-ip DUC. Dok sam imao ona NETMAP pravila on je slao njegovu adresu tj, javnu adresu koja je bila mapirana na njegovu lan adresu a to mi je ona druga slobodna adresa, jer prvu koristim za masquarade.
E sada kada sam postavio ovo sa dstnat-om meni taj no-ip DUC stalno vidi tu prvu adresu koja sluzi za maquarade a ne ovu drugu javnu koja mi je za DMZ.

A ovo novo pravilo sam stavio iznad maskarade? Gde gresim?

Odgovor na temu

Joja82
Beograd

Član broj: 50336
Poruke: 346
212.200.75.*

+5 Profil

Re: mikrotik nat 1:1 i firewall

^{03.03.2009. u 10:36 - pre 184 meseci}

opet moram da pitam, imam malu nejasnocu u vezi ovoga, nisam rekao da vec ima jednu masquaradu. evo nat konfiguracije?

0 chain=dstnat dst-address=xx.xx.xx.66 protocol=tcp dst-port=80
action=dst-nat to-addresses=192.168.6.235 to-ports=80

1 X chain=dstnat dst-address=xx.xx.xx.66 action=netmap
to-addresses=192.168.6.235 to-ports=0-65535

2 X chain=srcnat src-address=192.168.6.235 action=netmap
to-addresses=xx.xx.xx.66 to-ports=0-65535

3 chain=srcnat out-interface=WAN action=masquerade

u masquarade na kraju pod brojem 3 je adresa xx.xx.xx.65

Jel treba da napravim masquarade i za adresu xx.xx.xx.66 pa onda da dodam ovo pravilo pod 0?

Odgovor na temu