Колеги, дайте как да стане най-лесно филтъра на портове през рутера.
Та за какво става въпрос.
Налага се да имам Source NAT и Destination NAT от външен директно на вътрешен адрес.
По точно имам ако някой търси сорс адрес да речем 87.34.23.12 имам директно netmap към вътрешен адрес 192.168.0.1. По този начин пращам абсолютно всички портове на вътрешния адрес. Имам и обратното правило. Ако 192.168.0.1 търси образно казано "интернет" той се сорс натва с адрес 87.34.23.12.
До тук добре, но!
Поради някой причини трябва да направя филтър върху рутера, който ако някой търси УЕБ към сървъра да го блокна още на рутера.
Примерно ако някой иска достъп до 87.34.23.12 към порт 80 да не го netmap към вътрешния 192.168.0.1 към 80 порт, а още рутера да го спира и да не продължава netmapa!
Пробвах с чист firewall rule от рода:
ако source 87.34.23.12 in interface WAN port 80 acction-drop
Ама не работи, тоест първо изпълнява като чели netmap-a и след това отива на filter rules и въобще не обръща внимание на този рул.
Пробвах и обратното от рода ако:
Source address 192.168.0.1 src. port 80 out interface WAN acction-drop - ама и през него не минава, за да го дропне.
Както знаете това не са командите които се пишат ама общо за информация на рула ви го пиша.
Както пробвах за втория рул и на Chain Output и на Forward, съответно за първия рул Chain Input или пак forward, ама не е от това.
Та има ли начин само някой порт, който искам да го филтрирам преди NETMAP-a към вътрешното IP?
Question
BO
Колеги, дайте как да стане най-лесно филтъра на портове през рутера.
Та за какво става въпрос.
Налага се да имам Source NAT и Destination NAT от външен директно на вътрешен адрес.
По точно имам ако някой търси сорс адрес да речем 87.34.23.12 имам директно netmap към вътрешен адрес 192.168.0.1. По този начин пращам абсолютно всички портове на вътрешния адрес. Имам и обратното правило. Ако 192.168.0.1 търси образно казано "интернет" той се сорс натва с адрес 87.34.23.12.
До тук добре, но!
Поради някой причини трябва да направя филтър върху рутера, който ако някой търси УЕБ към сървъра да го блокна още на рутера.
Примерно ако някой иска достъп до 87.34.23.12 към порт 80 да не го netmap към вътрешния 192.168.0.1 към 80 порт, а още рутера да го спира и да не продължава netmapa!
Пробвах с чист firewall rule от рода:
ако source 87.34.23.12 in interface WAN port 80 acction-drop
Ама не работи, тоест първо изпълнява като чели netmap-a и след това отива на filter rules и въобще не обръща внимание на този рул.
Пробвах и обратното от рода ако:
Source address 192.168.0.1 src. port 80 out interface WAN acction-drop - ама и през него не минава, за да го дропне.
Както знаете това не са командите които се пишат ама общо за информация на рула ви го пиша.
Както пробвах за втория рул и на Chain Output и на Forward, съответно за първия рул Chain Input или пак forward, ама не е от това.
Та има ли начин само някой порт, който искам да го филтрирам преди NETMAP-a към вътрешното IP?
Link to comment
Share on other sites
6 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now