billy Posted August 28, 2018 Report Share Posted August 28, 2018 Здравейте, Имам проблем при рутирането на локалния NAT. Доколкото разбирам masquerate функцията може би. Та идеята е следната: имам външен IP адрес, който например е 1.1.1.1 който е външен за МикроТик-а. Вътрешната ми мрежа е 192.168.100.XXX. Уеб Сървъра е на IP адрес 192.168.100.101. Успешно отварям портове от вън (на публичния IP адрес) към вътрешния (192.168.100.101) където си хоствам сайт.com. Няма проблем със зареждането от Вън, но има проблем със зареждането им от локалната мрежа. Примерно аз съм се закачил за МикроТик-а с IP 192.168.100.252 и като заредя сайт.com, който е насочен към външния 1.1.1.1 ми дава connection refused. Разгледах нещо за HairPin, но не успях да се справя. Политиките са следните: [root@mikrotik] > /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; :: HAIRPIN NAT chain=srcnat action=masquerade src-address=192.168.100.0/24 dst-address=192.168.100.0/24 src-address-type="" log=no log-prefix="" 1 ;;; NAT chain=srcnat action=masquerade src-address=192.168.100.0/24 out-interface=WAN log=no log-prefix="" 2 ;;; Webserver TCP chain=dstnat action=dst-nat to-addresses=192.168.100.101 to-ports=20-2096 protocol=tcp in-interface=WAN dst-port=20-2096 log=no log-prefix="" 3 ;;; Webserver UDP 20-123 chain=dstnat action=dst-nat to-addresses=192.168.100.101 to-ports=20-123 protocol=udp in-interface=WAN dst-port=20-123 log=no log-prefix="" Като 2 и 3 са портовете, които препращам по TCP и UDP. Въпроса е в правилата 0 и 1, които трябва да ми направят локалния NAT Loopback, само че не сработват нещо. Може ли малко помощ ? Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted August 28, 2018 Administrator Report Share Posted August 28, 2018 Поредния бил на TP-Link Какви са тези обхвати от портове дет си стъкмил влизаш в IP > DNS > STATIC добавяш си сайта и ип адреса (локалния) и готово а и правилата от harpin-nat-a ти ги няма че да работи Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 billy Posted August 28, 2018 Author Report Share Posted August 28, 2018 преди 24 минути, 111111 написа: Поредния бил на TP-Link Какви са тези обхвати от портове дет си стъкмил влизаш в IP > DNS > STATIC добавяш си сайта и ип адреса (локалния) и готово а и правилата от harpin-nat-a ти ги няма че да работи Извинявам се, нов съм във форума и забравих да се представя: Аз съм поредния бил на TP-Link. Тия обхвати от портове, които съм ги стъкмил са ми необходими. Начина който си описал работи, но не ми върши работа, понеже имам инсталирани SSL сертификати на уеб сървъра, и когато достъпвам сайтовете през локалния им IP адрес - сертификатите се чупят. Идеята да е да мога да от вътрешния локален IP адрес да заявя и заредя сайтовете от публичния. Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted August 28, 2018 Administrator Report Share Posted August 28, 2018 Ами сложи си правилата за харпин нат https://wiki.mikrotik.com/wiki/Hairpin_NAT ограничи се само до нужните портове Какво общо имат сертификатите след като домейна е същия? some.site дали ще е на адрес 123.45.67.89 или 192.168.1.2 няма разлика. Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 billy Posted August 28, 2018 Author Report Share Posted August 28, 2018 Не става по този начин. Пробвах го. Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted August 28, 2018 Administrator Report Share Posted August 28, 2018 Just now, billy написа: Не става по този начин. Пробвах го. Значи имаш DNS различен от този на рутера Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 billy Posted August 28, 2018 Author Report Share Posted August 28, 2018 (edited) Преди 8 часа, 111111 написа: Ами сложи си правилата за харпин нат https://wiki.mikrotik.com/wiki/Hairpin_NAT Ето така стана:; [root@mikrotik] > /ip firewall nat export # aug/28/2018 22:55:44 by RouterOS 6.42.7 # software id = VKVJ-PNFF # # model = RouterBOARD 941-2nD # serial number = 661606799860 /ip firewall nat add action=masquerade chain=srcnat comment=NAT out-interface=WAN to-addresses=0.0.0.0 add action=masquerade chain=srcnat comment="HAIRPIN NAT" dst-address=!192.168.100.1 dst-address-type="" src-address=192.168.100.0/24 add action=dst-nat chain=dstnat comment="Webserver TCP" dst-address=!192.168.100.1 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.100.101 to-ports=80 Например за порт 80. Източник https://forum.mikrotik.com/viewtopic.php?t=107851 Някъде другаде прочетох, че статията от уики е стара и не работи при новите версии на RouterOS и затова е трябвало да се дефинира, кое IP не!е дестинация dst-address=!192.168.100.1, но ме съмнява. Както и да е. Работещото решение за мен е горе описаното. Преди 8 часа, 111111 написа: ограничи се само до нужните портове Ограничил съм се. Ето конфигурацията от firewall-а на сървъра зад Микротика: # Allow incoming TCP ports TCP_IN = "20,21,22,25,53,80,110,113,443,587,993,995,1022,2030,2031,2082,2083,2086,2087,2095,2096" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,1022,2030,2031,2082,2083,2086,2087,2095,2096" # Allow incoming UDP ports UDP_IN = "20,21,53" # Allow outgoing UDP ports # To allow outgoing traceroute add 33434:33523 to this list UDP_OUT = "20,21,53,113,123" Ако можех така да ги опиша в Микротика - повярвай ми, че щях да го направя. Преди 8 часа, 111111 написа: some.site дали ще е на адрес 123.45.67.89 или 192.168.1.2 няма разлика. Да така е. Аз се обърках нещо тука. Edited August 29, 2018 by billy Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted August 29, 2018 Administrator Report Share Posted August 29, 2018 Преди 8 часа, billy написа: Ограничил съм се. Ето конфигурацията от firewall-а на сървъра зад Микротика: # Allow incoming TCP ports TCP_IN = "20,21,22,25,53,80,110,113,443,587,993,995,1022,2030,2031,2082,2083,2086,2087,2095,2096" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,1022,2030,2031,2082,2083,2086,2087,2095,2096" # Allow incoming UDP ports UDP_IN = "20,21,53" # Allow outgoing UDP ports # To allow outgoing traceroute add 33434:33523 to this list UDP_OUT = "20,21,53,113,123" Ако можех така да ги опиша в Микротика - повярвай ми, че щях да го направя. Ако по този начин си ограничил с 4 правила то това не бих казал че е сигурно. Няма група публична и частна зона. Мога и POC на някой от портовете ти да покажа но това е друга тема. Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 billy Posted August 29, 2018 Author Report Share Posted August 29, 2018 Ами това са портовете, които са добавени във firewall-а на сървъра и се мониторират. Просто са посочени кои навън и кои навътре. Ако можеш ми покажи каквото можеш да покажеш. Колко не е сигурно и докъде ще стигнеш с твоите умения макар, че това си е офтопик. Въпроса ми е дали мога да ги задам с 2 правила в Микротика за TCP и UDP. Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted August 30, 2018 Administrator Report Share Posted August 30, 2018 Преди 19 часа, billy написа: Ами това са портовете, които са добавени във firewall-а на сървъра и се мониторират. Просто са посочени кои навън и кои навътре. Ако можеш ми покажи каквото можеш да покажеш. Колко не е сигурно и докъде ще стигнеш с твоите умения макар, че това си е офтопик. Въпроса ми е дали мога да ги задам с 2 правила в Микротика за TCP и UDP. Каква е тая логика с 2 правила сложи на сървъра публично ип тогава, трябват поне 8-10 правила, които са сортират трафика по вид и да го ограничават. Не случайно хората си си посрещат трафика по порт и L7 (рутера в твоя случай), последван от NGINX и на трети хоп машината пс. без проблем ти се достъпва контролния панел на "лари" и "лв" под-домейните на центовската ти машина. Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 billy Posted September 2, 2018 Author Report Share Posted September 2, 2018 Лари е виртуалка на RedHat, може би затова ти се вижда CentOS-ко. Но името си го има в PTR записа, а портовете са отворени за да ги ползвам (не само аз). Не разбирам какво ми се правиш толкова на интересен. Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted September 3, 2018 Administrator Report Share Posted September 3, 2018 Явно не искаш да се научиш как се правят нещата, твоя си воля. Сложи си публичното ип на машината и не се мъчи с рутер. Хората си правят кнок аксес или акаунтинг такъв. CentOS RedHat RPM все таз дърт кърнел и кило кръпки и руут акаунт по подразбиране. Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
Question
billy
Здравейте,
Имам проблем при рутирането на локалния NAT. Доколкото разбирам masquerate функцията може би.
Та идеята е следната: имам външен IP адрес, който например е 1.1.1.1 който е външен за МикроТик-а.
Вътрешната ми мрежа е 192.168.100.XXX. Уеб Сървъра е на IP адрес 192.168.100.101.
Успешно отварям портове от вън (на публичния IP адрес) към вътрешния (192.168.100.101) където си хоствам сайт.com.
Няма проблем със зареждането от Вън, но има проблем със зареждането им от локалната мрежа.
Примерно аз съм се закачил за МикроТик-а с IP 192.168.100.252 и като заредя сайт.com, който е насочен към външния 1.1.1.1 ми дава connection refused.
Разгледах нещо за HairPin, но не успях да се справя. Политиките са следните:
[root@mikrotik] > /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; :: HAIRPIN NAT chain=srcnat action=masquerade src-address=192.168.100.0/24 dst-address=192.168.100.0/24 src-address-type="" log=no log-prefix="" 1 ;;; NAT chain=srcnat action=masquerade src-address=192.168.100.0/24 out-interface=WAN log=no log-prefix="" 2 ;;; Webserver TCP chain=dstnat action=dst-nat to-addresses=192.168.100.101 to-ports=20-2096 protocol=tcp in-interface=WAN dst-port=20-2096 log=no log-prefix="" 3 ;;; Webserver UDP 20-123 chain=dstnat action=dst-nat to-addresses=192.168.100.101 to-ports=20-123 protocol=udp in-interface=WAN dst-port=20-123 log=no log-prefix=""
Като 2 и 3 са портовете, които препращам по TCP и UDP.
Въпроса е в правилата 0 и 1, които трябва да ми направят локалния NAT Loopback, само че не сработват нещо.
Може ли малко помощ ?
Link to comment
Share on other sites
11 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now