Jump to content
  • 0

Въпрос за странно рутиране.


BO
 Share

Question

Здравейте,

Изникна отново нуждата от рутиране през маскиране.

Та идеята е следната.

Имам микротик, който държи вход интернет (WAN) и локална мрежа.

Локалната мрежа да кажем е стандартна - 192.168.0.0/24

Та в тази локална мрежа имаме компютър с адрес 192.168.0.100 да речем.

Адреса на рутера да речем е 192.168.0.1

Та на този компютър от вътрешната мрежа има два интерфейса - единия си е локалния 192.168.0.100 а другия си е с реален външен адрес да речем 80.80.80.80

Та дефаултнния рутер на този комоютър е на другия интерфейс - да речем 80.80.80.1

Та идеята:

Като нетмапна порт през микротик рутера, той да маскира заявката като все едно идва от себе си.

Идеята, е че като се нетмапне да речем 22 порт през микротика, той мапва към вътрешен адрес на този компютър - 192.168.0.100 към порт 22. Ама това компютърче ми вижда реалния адрес от който идвам и се опитва да ми върне отговора през неговия си дефаул роут който е 80.80.80.1 и по този начин става объркването.

Та не може да се влезне в този компютър, за да му се зададат твърди рутинги.

За това ми е идеята като влезне заявката в микротик рутера той от своя страна да не закарва директно пакета до нет-мапа който съм му задал, а да маскира заявката, все едно идва от адрес от вътрешната мрежа (някой си който и да е - примерно 192.168.0.4), за да може след това компютъра от вътрешната мрежа да отговори на този маскиран адрес през правилния интерфейс и да дойде отново до мен през WAN интерфейса на рутера.

Дано съм го обяснил добре и разбираемо.

Поздрави.

Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0
  • Administrator

давай заявката отвън навътре да не е на :22 а примерно на :222

това с порт редирект

ако съм те разбрал

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

давай заявката отвън навътре да не е на :22 а примерно на :222

това с порт редирект

ако съм те разбрал

Все тая.

Нали вътрешния компютър вижда реалния адрес от който идва заявката в пакета и не връща по същия маршрут на вътрешната мрежа, да мине през рутера и навън, а връща отговора през другия интерфейс, защото там му е дефаулт гейтуея и пакетите отиват в "нищото"

Това е проблема.

За това искам някак си да маскирам трафика на вход все едно идва заявката от компютър от вътрешната мрежа, за да се ориентира по интерфейс, а не да използва гейтуей.

Link to comment
Share on other sites

  • 0
  • Administrator

май ще трябва картинка

на компа с публичното ип

редиректваш входящ порт :222 към ип:22 на машината вътре

дори и с winbox става

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

май ще трябва картинка

на компа с публичното ип

редиректваш входящ порт :222 към ип:22 на машината вътре

дори и с winbox става

Наистина ще трябва картинка.

И малко обяснение.

На мен не ми пречи - порт редиректа е ясен. С него няма проблеми.

Проблема идва от там, че пакета за да няма проблеми трябва да се върне по същия маршрут, а да не заявката да идва през един интернет доставчик, а отговора да се връща от друг интернет доставчик.

За това малко пояснение.

pc1 търси рутера на външния му адрес - 79.79.79.79 на порт да речем 80.

В рутера му е казано примерно:

add chain=dstnat protocol=tcp dst-port=80 in-interface=WAN action=netmap to-addresses=192.168.0.100 to-ports=80

ОК ако всичко е наред и вътрешния компютър pc2 няма външен адрес и default gateway му е рутера (192.168.0.1) то този ПЦ започва да сервира уеб и няма грижа.

Обаче ако pc2 има друг интерфейс с адрес 80.80.80.80 и default gate за цялата машина 80.80.80.1 то какво се получава.

Аз си пращам заявката за уеб до 79.79.79.79. Заявката стига до рутера по път-1. Рутера от своя страна редиректва заявката към вътрешен адрес до пц2 и тя стига реално до 192.168.0.100. До тук добре.

Сега става объркването.

пц-2 вижда заявката, че идва от пц1 с адрес 78.78.78.78 и връща отговор към въпросния адрес. Обаче default gateway за pc2 е неговия WAN интерфейс с адрес 80.80.80.80 и отправя отговора през другия интерфейс през път-2. По този начин отговора от пц-2 минава през път-2 през друг интернет доставчик и пакетите пристигат до пц-1 със съвсем друг src адрес и става мазалото - нищо не работи.

Та идеята ми е как да стане следното нещо или подобно:

На рутера се вдига примерно адрес 192.168.0.2

Аз като питам рутера 79.79.79.79 за порт 80 той да ме редиректне към пц2, ОБАЧЕ рутера от своя страна да маскира заявката към пц2 и пц2 да вижда, че все едно заявката идва от адрес 192.168.0.2

По този начин пц2 вижда заявката, че е направена от ИП 192.168.0.2 и връща по подразбиране заявката към този адрес, защото приоритета му е LAN интерфейса, защото има вдигната мрежа върху него и в рутинг таблицата му знае къде се намира въпросната мрежа. От своя страна отговора се връща обратно от рутера към пц-1.

Та ако мога така да опиша ситуацията.

post-200-13090072521_thumb.jpg

Link to comment
Share on other sites

  • 0

iptables -t nat -A PREROUTING -p tcp -d 79.79.79.79 --dport 222 -j DNAT --to 192.168.0.100:20

Пускаш на рутера и няма как да не стане.

после си търсиш SSH на 79.79.79.79 на порт 222.

Имам подобни постановки но машините са с по 2 публични адреса...казано иначе, от където и да мине все ще стигне на правилното място ;) Също така не можах да схвана идеята... да търсиш връзка с маскиран IP адрес при условие че машината си има публичен и през който е по-нормално да се свържеш :)

Link to comment
Share on other sites

  • 0
  • Administrator

ситуацията е при падане на доставчик (предполагам)

при редирект към вътрешен лан няма значение

се едно се свързваш със съседна машина

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.