Jump to content
  • 0

Проблем с достъпването на Samba през Микротик рутер


dionisy

Въпрос

Здравейте,

имам сървър на Ubuntu, на който е пусната Samba. Пред сървъра има Микротик. Пренасочил съм портове 111, 135-139 и 445 към вътрешния адрес на сървъра.  Но не мога да достъпя самбата от външна мрежа. Другите ми пренасочвания работят.  Къде може да е проблема?

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.254 to-ports=22
add action=dst-nat chain=dstnat dst-port=27015 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27015
add action=dst-nat chain=dstnat dst-port=27016 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27016
add action=dst-nat chain=dstnat dst-port=37777 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=37777
add action=dst-nat chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=554
add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=443
add action=dst-nat chain=dstnat dst-port=8000 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=8000
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    udp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=445
add action=dst-nat chain=dstnat dst-port=8888 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=8888
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=445
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=111
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=111
 

 

 

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0

Виж си първо Самбата, дали е конфигурирана да има достъп от външна мрежа. Изначало е лоша идея да се прави Нат до самба. По-правилно е да се достъпва през VPN.

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)

Вероятно tcp 445 е блокирано от Ubuntu Server ! 445 udp пренасочихме ли и него?

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0

Странно не ми е хрумвало за такава извратена идея .Както написаха трябва да работи и сигурно е виновен сървара и недопуска от външни мрежи да се достъпва. Винаги чист рутинг по добре ще се справи .Както казаха по добре е през VPN.

 

Адрес на коментара
Сподели в други сайтове

  • 0

И досега си работи от външни мрежи без проблем. То се явява реално втора вътрешна, защото натвам 192.168.60.1/24 към 192.168.1.102 .

Това е сървър на, която архивират 4 други сървъри. Досега беше с IP 5192.168.1.102 и към него архивираха 192.168.1.44; 2.44; 3.44; 1.43 като всеки от тези сървъри стои зад друг микротик. В централната точка е мрежа 1.1/24 и тя се рутира от Sophos.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 1 час, dionisy написа:

И досега си работи от външни мрежи без проблем. То се явява реално втора вътрешна, защото натвам 192.168.60.1/24 към 192.168.1.102 .

Това е сървър на, която архивират 4 други сървъри. Досега беше с IP 5192.168.1.102 и към него архивираха 192.168.1.44; 2.44; 3.44; 1.43 като всеки от тези сървъри стои зад друг микротик. В централната точка е мрежа 1.1/24 и тя се рутира от Sophos.

Че то , ако е така не би било нужно да правите въобще DNAT , а си търсете сървъра на 192.168.1.ХХХ адреса на който си работи! Предполагам mikrotik устройствата служат за изграждане на другите споменати от вас локални мрежи, но са с SNAT за да не се виждат от 192.168.1.0/24 мрежа от която адреси си взимат за "WAN".

Адрес на коментара
Сподели в други сайтове

  • 0
преди 51 минути, JohnTRIVOLTA написа:

Че то , ако е така не би било нужно да правите въобще DNAT , а си търсете сървъра на 192.168.1.ХХХ адреса на който си работи! Предполагам mikrotik устройствата служат за изграждане на другите споменати от вас локални мрежи, но са с SNAT за да не се виждат от 192.168.1.0/24 мрежа от която адреси си взимат за "WAN".

В случая се налага да отделя сървъра в отделна мрежа поради други причини.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)
Преди 6 часа, dionisy написа:

В случая се налага да отделя сървъра в отделна мрежа поради други причини.

Добре, като погледнах DNAT правилата се разбира , че мрежата е 192.168.60.0/24 и микротика е 192.168.1.102, но защо правила са към адрес 192.168.1.254 , а не към някакъв адрес от нея мрежа 60.0/24 - би трябвало сървъра да е с адрес от нея  ?

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0
Преди 23 часа, JohnTRIVOLTA написа:

Добре, като погледнах DNAT правилата се разбира , че мрежата е 192.168.60.0/24 и микротика е 192.168.1.102, но защо правила са към адрес 192.168.1.254 , а не към някакъв адрес от нея мрежа 60.0/24 - би трябвало сървъра да е с адрес от нея  ?

Сървъра е с адрес 1.254 , но освен него има и други устройства.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 20 минути, dionisy написа:

Сървъра е с адрес 1.254 , но освен него има и други устройства.

Че тогава на кой рутер правите тези dnat правила ? Щом е в централната мрежа 192.168.1.0/24 то от всички други мрежи зад рутерите трябва да се достъпва ? Викате , че сте го отделили в друга мрежа понеже се налага, а същевременно не сте го отделили в друга? И какво общо имат други устройства в схемата?

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.254 to-ports=22
add action=dst-nat chain=dstnat dst-port=27015 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27015
add action=dst-nat chain=dstnat dst-port=27016 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27016
add action=dst-nat chain=dstnat dst-port=37777 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=37777
add action=dst-nat chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=554
add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=443
add action=dst-nat chain=dstnat dst-port=8000 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=8000
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    udp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=445

add action=dst-nat chain=dstnat dst-port=8888 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=8888
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=445

add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=111
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=111

 

Спри или махни червените правила и кажи как е положението !

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0

Няма разлика. Казва както преди - папката е празна. Почвам да се съмнявам , че се блъска със самбата на Mikrotika въпреки, че тя не е активна.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 12 минути, dionisy написа:

Няма разлика. Казва както преди - папката е празна. Почвам да се съмнявам , че се блъска със самбата на Mikrotika въпреки, че тя не е активна.

Не си казал от къде и как тестваш?!

Адрес на коментара
Сподели в други сайтове

  • 0
преди 37 минути, JohnTRIVOLTA написа:

Не си казал от къде и как тестваш?!

Тествам от 192.168.1.123 . Ако тествам от 192.168.60.123 всичко си бачка.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 8 часа, dionisy написа:

Тествам от 192.168.1.123 . Ако тествам от 192.168.60.123 всичко си бачка.

И викаш не се отваря \\192.168.1.254 през file explorer ?

 

  • Хаха 1
Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.