Mikrotik и почтовый сервер
 

Добрый день,
Шлюзом интернета является Микротик, в локальной сети есть опубликованный через Микротик почтовый сервер.
Так вот вопрос, при входящих соединениях на почтовый сервер реальный IP-адрес внешнего входящего соединения заменяется на IP-адрес микротика. Строка выглядит следующим образом
[i]Thu 2015-08-20 18:27:36: Accepting SMTP connection from [192.168.0.1:34621] to [192.168.0.2:25][/i]
Есть ли вариант настроить публикацию таким образом, чтобы почтовый сервер видел "настоящие" IP-адреса? что-то вроде
[i]Thu 2015-08-20 18:27:36: Accepting SMTP connection from [94.100.180.200:34621] to [192.168.0.2:25][/i]

Непонятно, как вы этого добились?

Там одно правило в NAT и одно в FILTER создаете и все:

ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=25 protocol=tcp in-interface=WAN dst-port=25

ip firewall filter add chain=forward action=accept protocol=tcp dst-address=192.168.0.2 in-interface=WAN dst-port=25

1-Stepan Razin >
Правило в фильтре не нужно, т.к. NAT обрабатывается до Filter. И лучше использовать netmap, это развитие dst-nat.

(2): Если фаерволл настроен по стандартному принципу "всё, что не разрешено, то запрещено" - то правило нужно.

Иначе получится, что смысл фильтра вообще теряется и создав правило NAT ты открываешь сервер всему миру, а очень часто это нужно делать только для конкретной группы IP-адресов (удаленный доступ по RDP, например)

3-Stepan Razin >
Увы, DST-NAT обрабатывается на Prerouting ([url=http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6]"А" и "Prerouting" на таблице[/url]), поэтому обработка проходит до всех фильтров. Если нужно ограничить dst-nat, то нужно использовать Src Adress или Src Adress List.

(4): Я прежде, чем запостить, на всякий случай проверил - вдруг я где-то ошибаюсь.

Запретил указанное правило ip filter firewall, после чего 25-ый порт отвечать перестал.

Я думаю автор сделал маскарад на внутреннюю сеть... Хз правда зачем.

5-Stepan Razin >
Только что прокинул SSH только через DST-NAT, правила в фильтре по умолчанию.

(7): Чудеса какие-то.

Проверил еще на трех микротиках - везде при отключении правила в фильтре внутрь не пускает снаружи. Например: RouterOS v6.18

7 chain=forward action=accept protocol=tcp dst-address=192.168.1.2 in-interface=WAN dst-port=25,110,143,587

..............................................

19 ;;; Default DROP
chain=input action=drop in-interface=WAN

20 chain=forward action=drop in-interface=WAN

(7): У вас точно есть запрещающее правило на FORWARD?

Ну вот, кажется я вспомнил. Микротик в дефолтных правилах не имеет запрета на FORWARD, а только на INPUT.

[url]http://wiki.mikrotik.com/wiki/Manual:Default_Configurations#Firewall.2C_NAT_and_MAC_server[/url]

add chain=input action=accept protocol=icmp

add chain=input action=accept connection-state=established in-interface=ether1-gateway

add chain=input action=accept connection-state=related in-interface=ether1-gateway

add chain=input action=drop in-interface=ether1-gateway

Соответственно, все, что в NAT будет проброшено - будет пропущено и через фаерволл.

Я просто много лет назад с этим столкнулся, а сейчас забыл, поскольку всегда на старте удаляю все дефолтные правила и заталкиваю туда свои, в которых как раз последними строчками идут запреты на все: и на Input, и на Forward.

Видимо поэтому у вас в (7) все проходит.

Спасибо за интересное обсуждение. Будем пробовать )

10-Stepan Razin >
и вас просто весь форвард на WAN интерфейс включен?

(12): Не понял вас. Что значит "весь форвард"?

Форвард включен только того, что в NAT прописано, как DST-NAT

13-Stepan Razin >
[em]в которых как раз последними строчками идут запреты на все: и на Input, и на Forward.[/em]
Запрет на форвард какой? У меня дропается лишь инвалидный, принимается релейтед и эстеблишт.

(14): Я же в (8) процитировал, какие правила я создал в самом конце, чтобы гарантированно отрубать все, не проходящее по более высоким правилам:

chain=input action=drop in-interface=WAN
chain=forward action=drop in-interface=WAN

15-Stepan Razin >
Увидел. Странное правило.

(16): В чем именно его странность?
Оно выполняет свою задачу базовой безопасности: "Снаружи все, что не разрешено - запрещено"

17-Stepan Razin >
У вас же правило на инпут новых есть, зачем еще и на форвард? Все пакеты режутся еще на подлете.

(18): Тогда почему у вас при создании правила DST-NAT на внутренний сервер сразу начинает пускать кого угодно, а у меня - только тех, кому я явно в IP-Firewall-Filter разрешу?

Как вы безопасность то обеспечиваете? Теоретическим знанием, что "должно резаться" или проверкой на практике снаружи?

У вас дефолтные правила на форвард всех пропускают.

Или вы просто на уровне NAT используете address-list в качестве источника, а фаерволл не настраиваете по главному принципу "запрета всего, что не разрешено"?

ИМХО, это не совсем правильно, последние правила фаерволла всегда должны запрещать абсолютно всё.

19-Stepan Razin >
Именно так, адресные листы. У нас за это отвечают 2 правила, а меня - одно.
У меня другая точка зрения: запретить все, что необходимо, остальное разрешить.

(20): Мы с вами точно об одном и том же говорим?
Вы ВНУТРЬ разрешаете все, что не запрещено?

Или все-таки имеете в виду доступ наружу для клиентов ЛВС?

21-Stepan Razin >
Да наверное о разном. Форвард у меня запрещен только на состояние инвэлид. Все остальное блокируется по инпут.

(22): Если в NAT не указать SRC-ADDRESS-LIST - то INPUT ничего не заблокирует. В этом и суть.

Любая дальнейшая оплошность - и доступ открыт всем.

В случае первоначальной настройки дропов на уровне FILTER - создавайте в NAT что угодно, но пока явно в /ip firewall filter не создадите правило - работать не будет.

Меня так в детском саду для админов учили. По принципу "береженого Бог бережет"

23-Stepan Razin >
То есть это "А если второй потеряешь? -На этот случай у меня проездной". Теперь понятно.

(24): Именно так. В ту же тему: "Бэкапов много не бывает".

[quote=Stepan Razin;39886147]Микротик в дефолтных правилах не имеет запрета на FORWARD, а только на INPUT.[/quote] на INPUT тоже нет запрета как и на OUTPUT и дефолтную политику не поменять единственное отличие это пользовательские цепочки - из них по-дефолту RETURN чего вполне достаточно для динамических правил при желании, если недостаточно address lists , я так забавляюсь со снортом дома от нечего делать )))

(26): Не понял... Что значит "дефолтную политику не поменять"?

Когда настраиваю новый микротик (последний раз - неделю назад), сначала сношу все правила в FILTER, а потом создаю свои.

Я имел в виду аналог
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

а там про дефолтные прописаные правила в посте, про правила не помню я их стираю обычно и делаю с нуля )))

[quote=Pass;39866783]И лучше использовать netmap, это развитие dst-nat.[/quote]
Везде это пишут, но нигде не нашёл ЧЕМ лучше? Тем более странно, что при uPnP имено динамически dst-nat включается, а не netmap...

О, гуру Микротиков. Подскажите над реализацией такой схемы.
[img]http://s019.radikal.ru/i616/1512/2b/0d8497e92912.jpg[/img]

В сети LAN есть компьютер 192.168.0.1, надо запретить ходить в сеть 192.168.0.0.24 кроме этого компа со стороны Кинетика, при этом сохранить возможность ходить на Кинетик (для настройки например) со стороны сети 0.0/24
Кинетик надо обязательно оставить в режиме роутера с NAT, чтобы он мог поднимать резервный канал при отсутствии интернета - тоже непонятно как реализовать, так как WAN порт кинетика смотрит не напрямую в провайдера а в порт Микротика.
Не очень бы хотелось переводить Кинетик в режим точки доступа, хотя и возможно.

наверное, нужно чтобы шлюз маршруты раздавал
шютк)
не вижу и намёка на "гуровские" проблемы, абсолютно банальная задача, для грамотного сетевика есс-но),
но вижу ментальную лень, и отсутсвие [u]базовых[/u] знаний

32-gloomymen > с базовыми знаниями хромота, ибо я не сетивик.
Как не колдовал с правилами, маршрутами и т.д. что-то да не так работает. Например из сети 192.168.3.0/24 проходят запросы на сеть 192.168.0.0/24, если запрещать начинаю, то сам не могу на Zyxel зайти и в том же духе.

Главное надо понять, возможно ли это средствами Микротик, чтобы Кинетик был девственно чист, кроме штатных настроек.
WAN - NAT - LAN которые в нем заложены.

з.ы. сейчас работает с NAT или без NAT но приходится еще куролесить с правилами на самом Кинетики, а не только на Микроте.

Например не могу запретить самим Микротом, чтобы из сети 3.х на сам Микрот зайти не могли, так как для Кинетика 2.1=Микрот и он его шлюз.

колдовство заканчивается там, где начинаются знания)
лично вам, помогать больше не буду, из этических соображений
т.к. чернуху лить на линух не зная броду у вас получается - как отче наш, а как до дела доходит, так оказывается, что пень-пнём, что собственно и сразу было ясно

35-gloomymen > з.ы. в плане сетевых возможностей никогда не гнал чернуху на линух.
Всегда гнал по поводу юзабельности и комплектации ПО.
Не надо передергивать :)

Иначе бы я и на пушечный выстрел не подошел бы ни к линуху ни к микротику. И если что, то сервак уже лет 6 пашет, и столько же OpenVPN сервер на нем, причем благодаря тебе, за что огромное спасибо.

Если нужен "девственный" Keenetic, то стоит перевести сеть 3.0 на микротик и оставить Keenetic тупо для поднимания второго WAN.
Иначе придётся поднять, как минимум, три VLAN для каждой подсети (1.x, 2.x и 3.x), плюс ещё два для обоих WAN'ов. Причём, 3 VLAN на самом Keenetic, с транковым соединением с Mikrotik =)

37-droidman > вчера ночью читал, ниче не понял. Сейчас читаю и тоже не совсем понимаю.
Что значит перевести сеть 3.0 на микротик ?
Для понимания, если это поможет.
Если Кинетик включен по умолчанию WAN порт в интернет, LAN порты в сеть, включен НАТ, то на WAN порту и внутренних не можут быть адресов из одной подсети. Как тогда предлагаете перевести сеть 3.0 на микрот ?

Смысл в том, чтобы кинетик сделать тупо поднималкой канала, не более. Переключение каналов делать в микротике, благо он рассчитан на это больше. Подсеть 3.0, как и 2.0 машрутить на самом микротике, который и будет решать куда пускать (балансировка ли, отказоустойчивость ли, policy-based ли выбор канала).

Я правда ещё не понял цели существования подсети 3.0 =)