| 0
- 20.08.2015 - 17:37
|
Добрый день, Шлюзом интернета является Микротик, в локальной сети есть опубликованный через Микротик почтовый сервер. Так вот вопрос, при входящих соединениях на почтовый сервер реальный IP-адрес внешнего входящего соединения заменяется на IP-адрес микротика. Строка выглядит следующим образом Thu 2015-08-20 18:27:36: Accepting SMTP connection from [192.168.0.1:34621] to [192.168.0.2:25] Есть ли вариант настроить публикацию таким образом, чтобы почтовый сервер видел "настоящие" IP-адреса? что-то вроде Thu 2015-08-20 18:27:36: Accepting SMTP connection from [94.100.180.200:34621] to [192.168.0.2:25]     | | |
| 1
- 20.08.2015 - 21:01
|
Непонятно, как вы этого добились? Там одно правило в NAT и одно в FILTER создаете и все: ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=25 protocol=tcp in-interface=WAN dst-port=25 ip firewall filter add chain=forward action=accept protocol=tcp dst-address=192.168.0.2 in-interface=WAN dst-port=25 | | |
| 2
- 21.08.2015 - 00:26
|
1-Stepan Razin > Правило в фильтре не нужно, т.к. NAT обрабатывается до Filter. И лучше использовать netmap, это развитие dst-nat. | | |
| 3
- 21.08.2015 - 08:43
|
(2): Если фаерволл настроен по стандартному принципу "всё, что не разрешено, то запрещено" - то правило нужно. Иначе получится, что смысл фильтра вообще теряется и создав правило NAT ты открываешь сервер всему миру, а очень часто это нужно делать только для конкретной группы IP-адресов (удаленный доступ по RDP, например) | | |
| 4
- 21.08.2015 - 09:10
|
3-Stepan Razin > Увы, DST-NAT обрабатывается на Prerouting ("А" и "Prerouting" на таблице), поэтому обработка проходит до всех фильтров. Если нужно ограничить dst-nat, то нужно использовать Src Adress или Src Adress List. | | |
| 5
- 21.08.2015 - 14:06
|
(4): Я прежде, чем запостить, на всякий случай проверил - вдруг я где-то ошибаюсь. Запретил указанное правило ip filter firewall, после чего 25-ый порт отвечать перестал. | | |
| 6
- 21.08.2015 - 14:31
| Я думаю автор сделал маскарад на внутреннюю сеть... Хз правда зачем. | | |
| 7
- 21.08.2015 - 14:54
|
5-Stepan Razin > Только что прокинул SSH только через DST-NAT, правила в фильтре по умолчанию. | | |
| 8
- 22.08.2015 - 09:43
|
(7): Чудеса какие-то. Проверил еще на трех микротиках - везде при отключении правила в фильтре внутрь не пускает снаружи. Например: RouterOS v6.18 7 chain=forward action=accept protocol=tcp dst-address=192.168.1.2 in-interface=WAN dst-port=25,110,143,587 .............................................. 19 ;;; Default DROP chain=input action=drop in-interface=WAN 20 chain=forward action=drop in-interface=WAN | | |
| 9
- 22.08.2015 - 09:44
| (7): У вас точно есть запрещающее правило на FORWARD? | | |
| 10
- 23.08.2015 - 13:00
|
Ну вот, кажется я вспомнил. Микротик в дефолтных правилах не имеет запрета на FORWARD, а только на INPUT. http://wiki.mikrotik.com/wiki/Manual...and_MAC_server add chain=input action=accept protocol=icmp add chain=input action=accept connection-state=established in-interface=ether1-gateway add chain=input action=accept connection-state=related in-interface=ether1-gateway add chain=input action=drop in-interface=ether1-gateway Соответственно, все, что в NAT будет проброшено - будет пропущено и через фаерволл. Я просто много лет назад с этим столкнулся, а сейчас забыл, поскольку всегда на старте удаляю все дефолтные правила и заталкиваю туда свои, в которых как раз последними строчками идут запреты на все: и на Input, и на Forward. Видимо поэтому у вас в (7) все проходит. | | |
| 11
- 23.08.2015 - 17:59
| Спасибо за интересное обсуждение. Будем пробовать ) | | |
| 12
- 23.08.2015 - 19:12
|
10-Stepan Razin > и вас просто весь форвард на WAN интерфейс включен? | | |
| 13
- 23.08.2015 - 23:41
|
(12): Не понял вас. Что значит "весь форвард"? Форвард включен только того, что в NAT прописано, как DST-NAT | | |
| 14
- 23.08.2015 - 23:57
|
13-Stepan Razin > в которых как раз последними строчками идут запреты на все: и на Input, и на Forward. Запрет на форвард какой? У меня дропается лишь инвалидный, принимается релейтед и эстеблишт. | | |
| 15
- 24.08.2015 - 00:30
|
(14): Я же в (8) процитировал, какие правила я создал в самом конце, чтобы гарантированно отрубать все, не проходящее по более высоким правилам: chain=input action=drop in-interface=WAN chain=forward action=drop in-interface=WAN | | |
| 16
- 24.08.2015 - 08:11
|
15-Stepan Razin > Увидел. Странное правило. | | |
| 17
- 24.08.2015 - 09:09
|
(16): В чем именно его странность? Оно выполняет свою задачу базовой безопасности: "Снаружи все, что не разрешено - запрещено" | | |
| 18
- 24.08.2015 - 09:15
|
17-Stepan Razin > У вас же правило на инпут новых есть, зачем еще и на форвард? Все пакеты режутся еще на подлете. | | |
| 19
- 24.08.2015 - 10:09
|
(18): Тогда почему у вас при создании правила DST-NAT на внутренний сервер сразу начинает пускать кого угодно, а у меня - только тех, кому я явно в IP-Firewall-Filter разрешу? Как вы безопасность то обеспечиваете? Теоретическим знанием, что "должно резаться" или проверкой на практике снаружи? У вас дефолтные правила на форвард всех пропускают. Или вы просто на уровне NAT используете address-list в качестве источника, а фаерволл не настраиваете по главному принципу "запрета всего, что не разрешено"? ИМХО, это не совсем правильно, последние правила фаерволла всегда должны запрещать абсолютно всё. | | |
| 20
- 24.08.2015 - 10:30
|
19-Stepan Razin > Именно так, адресные листы. У нас за это отвечают 2 правила, а меня - одно. У меня другая точка зрения: запретить все, что необходимо, остальное разрешить. | | |
| 21
- 24.08.2015 - 22:17
|
(20): Мы с вами точно об одном и том же говорим? Вы ВНУТРЬ разрешаете все, что не запрещено? Или все-таки имеете в виду доступ наружу для клиентов ЛВС? | | |
| 22
- 24.08.2015 - 22:42
|
21-Stepan Razin > Да наверное о разном. Форвард у меня запрещен только на состояние инвэлид. Все остальное блокируется по инпут. | | |
| 23
- 24.08.2015 - 23:19
|
(22): Если в NAT не указать SRC-ADDRESS-LIST - то INPUT ничего не заблокирует. В этом и суть. Любая дальнейшая оплошность - и доступ открыт всем. В случае первоначальной настройки дропов на уровне FILTER - создавайте в NAT что угодно, но пока явно в /ip firewall filter не создадите правило - работать не будет. Меня так в детском саду для админов учили. По принципу "береженого Бог бережет" | | |
| 24
- 24.08.2015 - 23:24
|
23-Stepan Razin > То есть это "А если второй потеряешь? -На этот случай у меня проездной". Теперь понятно. | | |
| 25
- 24.08.2015 - 23:36
| (24): Именно так. В ту же тему: "Бэкапов много не бывает". | | |
| 26
- 26.08.2015 - 00:33
| Цитата:
| | |
| 27
- 26.08.2015 - 08:59
|
(26): Не понял... Что значит "дефолтную политику не поменять"? Когда настраиваю новый микротик (последний раз - неделю назад), сначала сношу все правила в FILTER, а потом создаю свои. | | |
| 28
- 26.08.2015 - 09:05
|
Я имел в виду аналог iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP | | |
| 29
- 26.08.2015 - 13:38
| а там про дефолтные прописаные правила в посте, про правила не помню я их стираю обычно и делаю с нуля ))) | | |
| 30
- 10.12.2015 - 12:05
| Цитата:
| | |
| 31
- 11.12.2015 - 14:05
|
О, гуру Микротиков. Подскажите над реализацией такой схемы. В сети LAN есть компьютер 192.168.0.1, надо запретить ходить в сеть 192.168.0.0.24 кроме этого компа со стороны Кинетика, при этом сохранить возможность ходить на Кинетик (для настройки например) со стороны сети 0.0/24 Кинетик надо обязательно оставить в режиме роутера с NAT, чтобы он мог поднимать резервный канал при отсутствии интернета - тоже непонятно как реализовать, так как WAN порт кинетика смотрит не напрямую в провайдера а в порт Микротика. Не очень бы хотелось переводить Кинетик в режим точки доступа, хотя и возможно. | | |
| 32
- 11.12.2015 - 14:59
|
наверное, нужно чтобы шлюз маршруты раздавал шютк) не вижу и намёка на "гуровские" проблемы, абсолютно банальная задача, для грамотного сетевика есс-но), но вижу ментальную лень, и отсутсвие базовых знаний | | |
| 33
- 11.12.2015 - 15:45
|
32-gloomymen > с базовыми знаниями хромота, ибо я не сетивик. Как не колдовал с правилами, маршрутами и т.д. что-то да не так работает. Например из сети 192.168.3.0/24 проходят запросы на сеть 192.168.0.0/24, если запрещать начинаю, то сам не могу на Zyxel зайти и в том же духе. Главное надо понять, возможно ли это средствами Микротик, чтобы Кинетик был девственно чист, кроме штатных настроек. WAN - NAT - LAN которые в нем заложены. з.ы. сейчас работает с NAT или без NAT но приходится еще куролесить с правилами на самом Кинетики, а не только на Микроте. | | |
| 34
- 11.12.2015 - 15:46
| Например не могу запретить самим Микротом, чтобы из сети 3.х на сам Микрот зайти не могли, так как для Кинетика 2.1=Микрот и он его шлюз. | | |
| 35
- 11.12.2015 - 16:08
|
колдовство заканчивается там, где начинаются знания) лично вам, помогать больше не буду, из этических соображений т.к. чернуху лить на линух не зная броду у вас получается - как отче наш, а как до дела доходит, так оказывается, что пень-пнём, что собственно и сразу было ясно | | |
| 36
- 11.12.2015 - 17:03
|
35-gloomymen > з.ы. в плане сетевых возможностей никогда не гнал чернуху на линух. Всегда гнал по поводу юзабельности и комплектации ПО. Не надо передергивать :) Иначе бы я и на пушечный выстрел не подошел бы ни к линуху ни к микротику. И если что, то сервак уже лет 6 пашет, и столько же OpenVPN сервер на нем, причем благодаря тебе, за что огромное спасибо. | | |
| 37
- 11.12.2015 - 23:17
|
Если нужен "девственный" Keenetic, то стоит перевести сеть 3.0 на микротик и оставить Keenetic тупо для поднимания второго WAN. Иначе придётся поднять, как минимум, три VLAN для каждой подсети (1.x, 2.x и 3.x), плюс ещё два для обоих WAN'ов. Причём, 3 VLAN на самом Keenetic, с транковым соединением с Mikrotik =) | | |
| 38
- 12.12.2015 - 10:13
|
37-droidman > вчера ночью читал, ниче не понял. Сейчас читаю и тоже не совсем понимаю. Что значит перевести сеть 3.0 на микротик ? Для понимания, если это поможет. Если Кинетик включен по умолчанию WAN порт в интернет, LAN порты в сеть, включен НАТ, то на WAN порту и внутренних не можут быть адресов из одной подсети. Как тогда предлагаете перевести сеть 3.0 на микрот ? | | |
| 39
- 14.12.2015 - 23:15
|
Смысл в том, чтобы кинетик сделать тупо поднималкой канала, не более. Переключение каналов делать в микротике, благо он рассчитан на это больше. Подсеть 3.0, как и 2.0 машрутить на самом микротике, который и будет решать куда пускать (балансировка ли, отказоустойчивость ли, policy-based ли выбор канала). Я правда ещё не понял цели существования подсети 3.0 =) | |
Интернет-форум Краснодарского края и Краснодара |
