Jump to content
  • 0

Проблем с достъпването на Samba през Микротик рутер

dionisy

Asked by dionisy,

 Share

Question

dionisy Rookie

dionisy

Posted
Posted

Здравейте,

имам сървър на Ubuntu, на който е пусната Samba. Пред сървъра има Микротик. Пренасочил съм портове 111, 135-139 и 445 към вътрешния адрес на сървъра.  Но не мога да достъпя самбата от външна мрежа. Другите ми пренасочвания работят.  Къде може да е проблема?

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.254 to-ports=22
add action=dst-nat chain=dstnat dst-port=27015 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27015
add action=dst-nat chain=dstnat dst-port=27016 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27016
add action=dst-nat chain=dstnat dst-port=37777 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=37777
add action=dst-nat chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=554
add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=443
add action=dst-nat chain=dstnat dst-port=8000 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=8000
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    udp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=445
add action=dst-nat chain=dstnat dst-port=8888 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=8888
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=445
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=111
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=111
 

 

 

Link to comment
Share on other sites

24 answers to this question

Recommended Posts

  • 0
gbdesign Rookie

gbdesign

Posted
Posted

Виж си първо Самбата, дали е конфигурирана да има достъп от външна мрежа. Изначало е лоша идея да се прави Нат до самба. По-правилно е да се достъпва през VPN.

  • Like 1
Link to comment
Share on other sites
  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted (edited)

Вероятно tcp 445 е блокирано от Ubuntu Server ! 445 udp пренасочихме ли и него?

Edited by JohnTRIVOLTA
Link to comment
Share on other sites
  • 0
niki5 Rookie

niki5

Posted
Posted

Странно не ми е хрумвало за такава извратена идея .Както написаха трябва да работи и сигурно е виновен сървара и недопуска от външни мрежи да се достъпва. Винаги чист рутинг по добре ще се справи .Както казаха по добре е през VPN.

 

Link to comment
Share on other sites
  • 0
dionisy
Rookie

dionisy

Posted
  • Author
Posted

И досега си работи от външни мрежи без проблем. То се явява реално втора вътрешна, защото натвам 192.168.60.1/24 към 192.168.1.102 .

Това е сървър на, която архивират 4 други сървъри. Досега беше с IP 5192.168.1.102 и към него архивираха 192.168.1.44; 2.44; 3.44; 1.43 като всеки от тези сървъри стои зад друг микротик. В централната точка е мрежа 1.1/24 и тя се рутира от Sophos.

Link to comment
Share on other sites
  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted
Преди 1 час, dionisy написа:

И досега си работи от външни мрежи без проблем. То се явява реално втора вътрешна, защото натвам 192.168.60.1/24 към 192.168.1.102 .

Това е сървър на, която архивират 4 други сървъри. Досега беше с IP 5192.168.1.102 и към него архивираха 192.168.1.44; 2.44; 3.44; 1.43 като всеки от тези сървъри стои зад друг микротик. В централната точка е мрежа 1.1/24 и тя се рутира от Sophos.

Че то , ако е така не би било нужно да правите въобще DNAT , а си търсете сървъра на 192.168.1.ХХХ адреса на който си работи! Предполагам mikrotik устройствата служат за изграждане на другите споменати от вас локални мрежи, но са с SNAT за да не се виждат от 192.168.1.0/24 мрежа от която адреси си взимат за "WAN".

Link to comment
Share on other sites
  • 0
dionisy
Rookie

dionisy

Posted
  • Author
Posted
преди 51 минути, JohnTRIVOLTA написа:

Че то , ако е така не би било нужно да правите въобще DNAT , а си търсете сървъра на 192.168.1.ХХХ адреса на който си работи! Предполагам mikrotik устройствата служат за изграждане на другите споменати от вас локални мрежи, но са с SNAT за да не се виждат от 192.168.1.0/24 мрежа от която адреси си взимат за "WAN".

В случая се налага да отделя сървъра в отделна мрежа поради други причини.

Link to comment
Share on other sites
  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted (edited)
Преди 6 часа, dionisy написа:

В случая се налага да отделя сървъра в отделна мрежа поради други причини.

Добре, като погледнах DNAT правилата се разбира , че мрежата е 192.168.60.0/24 и микротика е 192.168.1.102, но защо правила са към адрес 192.168.1.254 , а не към някакъв адрес от нея мрежа 60.0/24 - би трябвало сървъра да е с адрес от нея  ?

Edited by JohnTRIVOLTA
Link to comment
Share on other sites
  • 0
dionisy
Rookie

dionisy

Posted
  • Author
Posted
Преди 23 часа, JohnTRIVOLTA написа:

Добре, като погледнах DNAT правилата се разбира , че мрежата е 192.168.60.0/24 и микротика е 192.168.1.102, но защо правила са към адрес 192.168.1.254 , а не към някакъв адрес от нея мрежа 60.0/24 - би трябвало сървъра да е с адрес от нея  ?

Сървъра е с адрес 1.254 , но освен него има и други устройства.

Link to comment
Share on other sites
  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted
преди 20 минути, dionisy написа:

Сървъра е с адрес 1.254 , но освен него има и други устройства.

Че тогава на кой рутер правите тези dnat правила ? Щом е в централната мрежа 192.168.1.0/24 то от всички други мрежи зад рутерите трябва да се достъпва ? Викате , че сте го отделили в друга мрежа понеже се налага, а същевременно не сте го отделили в друга? И какво общо имат други устройства в схемата?

Link to comment
Share on other sites
  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted (edited)

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.254 to-ports=22
add action=dst-nat chain=dstnat dst-port=27015 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27015
add action=dst-nat chain=dstnat dst-port=27016 in-interface=ether1 protocol=udp \
    to-addresses=192.168.60.254 to-ports=27016
add action=dst-nat chain=dstnat dst-port=37777 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=37777
add action=dst-nat chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=554
add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=443
add action=dst-nat chain=dstnat dst-port=8000 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.60.219 to-ports=8000
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    udp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=445
add action=dst-nat chain=dstnat dst-port=8888 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=8888
add action=dst-nat chain=dstnat dst-port=135-139 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.60.254 to-ports=135-139
add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=445
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.254 to-ports=111
add action=dst-nat chain=dstnat dst-port=111 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.254 to-ports=111

 

Спри или махни червените правила и кажи как е положението !

Edited by JohnTRIVOLTA
Link to comment
Share on other sites
  • 0
dionisy
Rookie

dionisy

Posted
  • Author
Posted

Няма разлика. Казва както преди - папката е празна. Почвам да се съмнявам , че се блъска със самбата на Mikrotika въпреки, че тя не е активна.

Link to comment
Share on other sites
  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted
преди 12 минути, dionisy написа:

Няма разлика. Казва както преди - папката е празна. Почвам да се съмнявам , че се блъска със самбата на Mikrotika въпреки, че тя не е активна.

Не си казал от къде и как тестваш?!

Link to comment
Share on other sites
  • 0
dionisy
Rookie

dionisy

Posted
  • Author
Posted
преди 37 минути, JohnTRIVOLTA написа:

Не си казал от къде и как тестваш?!

Тествам от 192.168.1.123 . Ако тествам от 192.168.60.123 всичко си бачка.

Link to comment
Share on other sites
  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted
Преди 8 часа, dionisy написа:

Тествам от 192.168.1.123 . Ако тествам от 192.168.60.123 всичко си бачка.

И викаш не се отваря \\192.168.1.254 през file explorer ?

 

  • Haha 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept