Jump to content
  • 0

Филтър на порт през NAT?


BO
 Share

Question

Колеги, дайте как да стане най-лесно филтъра на портове през рутера.

Та за какво става въпрос.

Налага се да имам Source NAT и Destination NAT от външен директно на вътрешен адрес.

По точно имам ако някой търси сорс адрес да речем 87.34.23.12 имам директно netmap към вътрешен адрес 192.168.0.1. По този начин пращам абсолютно всички портове на вътрешния адрес. Имам и обратното правило. Ако 192.168.0.1 търси образно казано "интернет" той се сорс натва с адрес 87.34.23.12.

До тук добре, но!

Поради някой причини трябва да направя филтър върху рутера, който ако някой търси УЕБ към сървъра да го блокна още на рутера.

Примерно ако някой иска достъп до 87.34.23.12 към порт 80 да не го netmap към вътрешния 192.168.0.1 към 80 порт, а още рутера да го спира и да не продължава netmapa!

Пробвах с чист firewall rule от рода:

ако source 87.34.23.12 in interface WAN port 80 acction-drop

Ама не работи, тоест първо изпълнява като чели netmap-a и след това отива на filter rules и въобще не обръща внимание на този рул.

Пробвах и обратното от рода ако:

Source address 192.168.0.1 src. port 80 out interface WAN acction-drop - ама и през него не минава, за да го дропне.

Както знаете това не са командите които се пишат ама общо за информация на рула ви го пиша.

Както пробвах за втория рул и на Chain Output и на Forward, съответно за първия рул Chain Input или пак forward, ама не е от това.

Та има ли начин само някой порт, който искам да го филтрирам преди NETMAP-a към вътрешното IP?

Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0

chain=forward dst-port=80 action=drop за отвън навътре и

chain=forward src-port=80 action=drop за отговор на конекция дошла отвън

Или даваш достъп до рутера а аз банковата си сметка. :)

Link to comment
Share on other sites

  • 0
  • Administrator

ползвай web конфига и цъкни защита на клиента

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

chain=forward dst-port=80 action=drop за отвън навътре и

chain=forward src-port=80 action=drop за отговор на конекция дошла отвън

Или даваш достъп до рутера а аз банковата си сметка. :)

Точно това пробвах и написах, че не работи с netmap.

Само с добавката и за интерфейс (входящ/изходящ), че иначе няма да е интересно, да спирам услугата за вътрешната мрежа :)

Нещо от рода:

add chain=forward in-interface=WAN dst-address=87.34.23.12  dst-port=80 action=drop

ползвай web конфига и цъкни защита на клиента

Това не го знам/разбирам, къде се "цъка" :)

Link to comment
Share on other sites

  • 0

Тц с входящ+изходящ не може. АйПи Флоу диаграм скив.

Не разбирам от това кратко изречение какво да видя.

Разбирам да видя Traffic Flow. Имам си активиран такъв и имам мониторинг, но това не виждам общо с въпроса който питах... ::)

Link to comment
Share on other sites

  • 0

Реших си проблема.

Трябва въпреки, че давам in interface трябва да задам локалния ИП адрес на машината.

Аз гледам на торч, върху ВАН интерфейса и искам да го блокна още на вход, но явно правилата важат след като пакета се препрати вече на вътрешния ИП адрес!

Благодаря ви за оказаната помощ.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.