routeros natolás

Web, mail, IRC, IM, hálózatok

Sziasztok!

 

Adott egy fix külső IP, és egy fix belső IP cím. Szeretnék beengedni néhány portot a belső címre.

Amit eddig tettem:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=10.0.0.1 to-ports=22 protocol=tcp
      in-interface=eth-sfp dst-port=22 log=no log-prefix=""

/ip firewall filter add chain=forward action=accept protocol=tcp in-interface=eth-sfp
      out-interface=MGMT-999 dst-port=22 log=yes log-prefix=""

Ez így működik, de szeretném szűrni, hogy mely külső címekről lehessen kapcsolódni. Ha a filternél beállítok egy forráscímet, akkor nem enged be sehonnan - a szabály feldolgozásakor már a natolt címet látja.

Ez azért is probléma, mert van olyan port, aminél nem szeretnék forráscímet szűrni a tűzfalon, ellenben a belső szerveren jó lenne látni, honnan jönnek a kérések, és szükség esetén ott tiltani gyanús címeket.

  • 655 megtekintés

( mauzi v | 2021. 08. 12., cs – 16:18 )

Ha a filternél beállítok egy forráscímet, akkor nem enged be sehonnan - a szabály feldolgozásakor már a natolt címet látja.

A port forward egy destination NAT, ahol a forrás IP cím változatlan marad, a cél IP cím kerül átírásra.

( ggallo | 2021. 08. 12., cs – 16:19 )

A dstnat a célcímet változtatja, a forráscím változatlan, így a forráscímre tudnod kell szűrni a filter src mezőjével. Meg ez alapján a cél szerverre is az eredeti forrás címmel érkezik a csomag, szóval ott is tudsz szűrni, naplózni forrás cím alapján.

( pischta | 2021. 08. 16., h – 08:04 )

Köszönöm a válaszokat. Nektek is igazatok van és nekem is. Kiderült, hogy a szolgáltató nyeli el a forráscímeket, velük kellett felvennem a kapcsolatot.