Inter Projekt
 
www.InterProjekt.pl  
Teraz jest 20 września 2014, godz. 05:51

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]




Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 8 ] 
Autor Wiadomość
 Tytuł: PRzekierowanie portów (2x ethernet) - dstnat
PostNapisane: 25 lutego 2010, godz. 18:58 
Offline

Dołączył(a): 25 lutego 2010, godz. 18:51
Posty: 7
Witam,

Mam dziwny i nietypowy problem.
Pacjent: RB333, MT 3.6 (z pewnych powodow chcialbym zachowac ta wlasnie wersje)

Uzywane sa 3 interfejsy - wlan1 oraz ether1 i ether2
wlan1 - internet, DHCP Client
ether1, ether2 - static IP, za maskarada, DHCP Servery

RObie prosta regulke - dstnat, input interface wlan1, to-addres na jakis zgodny z adresacja.
Wszystko fajnie dziala, pod warunkiem ze robie to dla ether1
Gdy probuje uzyc tej regulki dla interfejsu ether2 (oczywiscie zmieniajac adres w zakladce action) przekierowanie zwyczajnie nie dziala.


NIe wiem jak to ugrysc. Probowalem juz chyba wszystkiego. NIe jest to kwestia adresacji (zamienialem je), nie jest to kwestia urzadzen podalczonych do tych ethernetow...... Po prostu na ether1 dziala, na ether2 nie.

Zamieszczam print konfiga - moze ktos cos wymysli....



/ip pool
add name="dhcp_pool1" ranges=192.168.254.100-192.168.254.200
add name="dhcp_pool2" ranges=192.168.253.100-192.168.253.200
/ip dhcp-server
add address-pool=dhcp_pool1 authoritative=yes bootp-support=static disabled=no interface=ether2 lease-time=4w3d \
name="dhcp1"
add address-pool=dhcp_pool2 authoritative=after-2sec-delay bootp-support=static disabled=no interface=ether1 \
lease-time=4w2d name="dhcp2"
/ip dhcp-server config
set store-leases-disk=5m
/ip dhcp-server network
add address=192.168.253.0/24 comment="" gateway=192.168.253.254
add address=192.168.254.0/24 comment="" dns-server=222.222.222.222 domain="WYCIALEM" gateway=192.168.254.254 \
netmask=24 ntp-server=10.1.254.254
/ip accounting
set account-local-traffic=no enabled=no threshold=256
/ip accounting web-access
set accessible-via-web=no address=0.0.0.0/0
/ip address
add address=192.168.253.254/24 broadcast=192.168.253.255 comment="" disabled=no interface=ether1 \
network=192.168.253.0
add address=192.168.254.254/24 broadcast=192.168.254.255 comment="" disabled=no interface=ether2 \
network=192.168.254.0
add address=10.103.1.99/24 broadcast=10.103.1.255 comment="" disabled=no interface=wlan1 network=10.103.1.0
/ip dns
set allow-remote-requests=no cache-max-ttl=1w cache-size=2048KiB max-udp-packet-size=512 \
primary-dns=222.222.222.222 secondary-dns=0.0.0.0
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s \
tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \
tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall nat
add action=masquerade chain=srcnat comment="SNAT dla ruchu wychodzacego" disabled=no out-interface=wlan1
add action=accept chain=dstnat comment="Blokada NAT'a dla polaczen bezpo\9Crednich do MT" disabled=no dst-port=22 \
in-interface=wlan1 protocol=tcp src-address=10.0.0.0/8
add action=accept chain=dstnat comment="" disabled=no dst-port=8291 in-interface=wlan1 protocol=tcp \
src-address=10.0.0.0/8
add action=accept chain=dstnat comment="" disabled=no dst-port=8728 in-interface=wlan1 protocol=tcp \
src-address=10.0.0.0/8
add action=accept chain=dstnat comment="" disabled=no dst-port=161 in-interface=wlan1 protocol=udp \
src-address=10.0.0.0/8
add action=dst-nat chain=dstnat comment="DSTNAT na host'a w sieci wew." disabled=no in-interface=wlan1 \
to-addresses=192.168.253.1 to-ports=1-65500


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: PRzekierowanie portów (2x ethernet) - dstnat
PostNapisane: 12 marca 2010, godz. 16:41 
Offline
Inter Projekt
Avatar użytkownika

Dołączył(a): 5 marca 2007, godz. 11:31
Posty: 170
Lokalizacja: Bytom
Witam,

Kod:
add action=dst-nat chain=dstnat comment="DSTNAT na host'a w sieci wew." disabled=no in-interface=wlan1 \
to-addresses=192.168.253.1 to-ports=1-65500


Jak rozumiem druga reguła jest identyczna a zmienia sie tylko adres IP hosta na ktorego przekierowujesz?
Jesli tak, to jakim sposobem router ma wiedzieć do którego hosta chcesz ruch przekierować?

(wygląda to trochę tak

jeśli coś wpada wlan1 wyślij to do hosta A
jeśli coś wpada wlan1 wyślij to do hosta B

zadziała tylko pierwsza
)

Albo ogranicz sie do konkretnych usług (np http na hoscie A a ssh na host B) albo na wlan1 dodaj jeszcze jeden adres IP i nie natuj na bazie interfejsu tylko na bazie docelowego IP).

Nie przeceniaj 'inteligencji' routera ;)


pozdrawiam


Góra
 Zobacz profil  
 
 Tytuł: Re: PRzekierowanie portów (2x ethernet) - dstnat
PostNapisane: 13 marca 2010, godz. 14:56 
Offline

Dołączył(a): 25 lutego 2010, godz. 18:51
Posty: 7
No nie do konca.
Moj blad - zle wyjasnilem/przedstawilem

Gdy robie redirect na dwa hosty (dwie karty to):

add action=dst-nat chain=dstnat comment="DSTNAT na host'a w sieci wew 1." disabled=no in-interface=wlan1 \
to-addresses=192.168.253.1 to-ports=1-50

add action=dst-nat chain=dstnat comment="DSTNAT na host'a w sieci wew 2." disabled=no in-interface=wlan1 \
to-addresses=192.168.254.1 to-ports=51-65500


NIestety,. tak jak opisalem - nie przynosi to zadnego skutku

Jakis pomysl jeszcze zanim usiade do "zmiany" softu :) ?



Edited: natowac po adresie ip..... zastanawiam sie jak wtedy moglby te regulki wygladac ? mam uzyc destination address ?


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: PRzekierowanie portów (2x ethernet) - dstnat
PostNapisane: 13 marca 2010, godz. 16:35 
Offline
Inter Projekt
Avatar użytkownika

Dołączył(a): 5 marca 2007, godz. 11:31
Posty: 170
Lokalizacja: Bytom
Witam,

Nie kumam co chcesz osiągnąć. Dlaczego porty od 0-50 i od 51-65500?
Z tego co zrozumialem chcesz przypisac hostom adres z sieci zewnetrznej.

najprosciej chyba:

Kod:
/ip address add address=10.0.0.1/24 comment="pub1" interface=wlan1
/ip address add address=10.0.0.2/24 comment="pub2" interface=wlan1
;;adresy publiczne

/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.0.0.1 to-addresses=192.168.253.1
/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.0.0.2 to-addresses=192.168.254.1
/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.254.1 to-addresses=10.0.0.2
/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.253.1 to-addresses=10.0.0.1


pozdrawiam


Góra
 Zobacz profil  
 
 Tytuł: Re: PRzekierowanie portów (2x ethernet) - dstnat
PostNapisane: 15 marca 2010, godz. 12:08 
Offline

Dołączył(a): 25 lutego 2010, godz. 18:51
Posty: 7
Podana przez Ciebie rozwiazanie nie bedzie dzialac u mnie. Mam tylko 1 adres zew. w tamtym miejscu


Chce osiagnac przekierowanie okreslonych portow na ether1, a innych okreslonych na ether2.


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: PRzekierowanie portów (2x ethernet) - dstnat
PostNapisane: 15 marca 2010, godz. 12:31 
Offline
Inter Projekt
Avatar użytkownika

Dołączył(a): 5 marca 2007, godz. 11:31
Posty: 170
Lokalizacja: Bytom
Witam,

W takim razie:

Kod:
add action=dst-nat chain=dstnat disabled=no dst-port=22 protocol=tcp to-addresses=10.0.0.242 to-ports=22
add action=dst-nat chain=dstnat disabled=no dst-port=80 protocol=tcp to-addresses=10.0.0.243 to-ports=80


skoro konkretne porty, to także konkretny protokół (tcp, udp) - porty oczywiście mogą być zakresami ale zakresy:
0-50 i od 51-65500 IMHO nie bardzo mają sens...

pozdrawiam


Góra
 Zobacz profil  
 
 Tytuł: Re: PRzekierowanie portów (2x ethernet) - dstnat
PostNapisane: 15 marca 2010, godz. 13:29 
Offline

Dołączył(a): 25 lutego 2010, godz. 18:51
Posty: 7
No - i super. Doszlismy do tego, co mialem zrobione na poczatku (pomiajac In-Interface ktory tez usuwalem)

Problem w tym, ze to NIE DZIALA :)
Dziala tylko dla ether1.....


A zakresy portow to rzecz drugorzędna - to przeciez tylko przyklad byl


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: PRzekierowanie portów (2x ethernet) - dstnat
PostNapisane: 15 marca 2010, godz. 14:49 
Offline
Inter Projekt
Avatar użytkownika

Dołączył(a): 5 marca 2007, godz. 11:31
Posty: 170
Lokalizacja: Bytom
Witam,

Musi działać.... coś jeszcze musisz mieć skopane poproszę po kolei:

Kod:
/ip address export
/ip route print
/ip firewall filter export
/ip firewall nat export
/ip firewall connection export


pozdrawiam


Góra
 Zobacz profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 8 ] 

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]


Kto przegląda forum

Użytkownicy przeglądający to forum: Brak zalogowanych użytkowników i 1 gość


Nie możesz rozpoczynać nowych wątków
Nie możesz odpowiadać w wątkach
Nie możesz edytować swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Skocz do:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Publikowane wiadomości są prywatnymi opiniami użytkowników forum. Inter Projekt S.A. nie ponosi odpowiedzialności za treść wiadomości.
Informacje o cookies