раздача реальных ip на Mikrotik

Все о специализированных сетевых программных продуктах
Аватара пользователя
nickolayenko

 
Сообщения: 102
Зарегистрирован:
26 дек 2008, 00:06
Откуда: Kiev

Re: раздача реальных ip на Mikrotik

Сообщение nickolayenko 03 окт 2009, 12:30

В общем сделал всё сначала по своему, но возникла проблема, это правило
ip firewall filter add chain forward action=drop comment="All other forwards drop"
закрывало все порты на этих ип из интернета
делать такое правило для каждого ип
ip firewall filter add chain forward dst-address=217.76.201.66 action=accept comment="Access to internet "
это бред

сделал как сказал ув young

13 chain=forward dst-address-list=inet action=accept

14 chain=forward src-address-list=inet action=accept

15 ;;; All other forwards drop
chain=forward action=drop
всё заработало, но так как я не мега админ решил поинтересоваться, будет ли это правильно(интересует вопрос безопасности сервера)

Аватара пользователя
young

 
Сообщения: 124
Зарегистрирован:
20 авг 2009, 22:12

Re: раздача реальных ip на Mikrotik

Сообщение young 03 окт 2009, 12:48

2 nickolayenko:
nickolayenko писал(а):закрывало все порты на этих ип из интернета

нет, оно дропает всё то, что не было обработано ранее. крайне желательно его оставить в конце, что ты и сделал. мало ли - вдруг ты ещё будешь какую-то обработку пакетов добавлять. обращение к компам закрывалось по причине отсутствия разрешающего правила до дропа.

nickolayenko писал(а):будет ли это правильно(интересует вопрос безопасности сервера)

то, что описано в форварде, не относится к самому роутеру - для него инпут решает. в твоём же случае становится вопрос безопасности самих клиентов, ибо эти айпишники смотрят в мир так же, как и мир смотрит на них - их сканирование и попытки атаки снаружи никто не отменял. но это уже проблема клиентов :)
если говорить о безопасности самого роутера, то надо правильные правила в инпуте писать.

Аватара пользователя
nickolayenko

 
Сообщения: 102
Зарегистрирован:
26 дек 2008, 00:06
Откуда: Kiev

Re: раздача реальных ip на Mikrotik

Сообщение nickolayenko 03 окт 2009, 12:59

young, перевожу адреса из address list в disable, интернет не работает, а торрент качает ... :)
как бы и его прикрыть

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: раздача реальных ip на Mikrotik

Сообщение KirillTs 03 окт 2009, 13:37

nickolayenko писал(а): а торрент качает ... :)

Если качает с сидеров которые в твоей локалке тогда все ок, от сети ты же их не отключаешь...

Аватара пользователя
young

 
Сообщения: 124
Зарегистрирован:
20 авг 2009, 22:12

Re: раздача реальных ip на Mikrotik

Сообщение young 03 окт 2009, 13:58

2 nickolayenko:
ну всё правильно. у тебя же есть строчки:
ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"
ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"

это и означает, что разрешены те подключения, которые уже установлены и связаны. как только коннект с тем хостом пропадёт (закончится скачка, оборвётся связь и т.д.), то всё, упс - если клиент вырублен в списке, то он не сможет установить новое соединение.
ну возьми и добавь в эти правила ещё условие наличия в списке разрешённых. хотя нафига ? пусть человек получит удовольствие от последних докачек. :)

Аватара пользователя
BuTaMuH

 
Сообщения: 422
Зарегистрирован:
05 фев 2005, 13:56
Откуда: Кишинёв, Ботаника

Re: раздача реальных ip на Mikrotik

Сообщение BuTaMuH 03 окт 2009, 21:01

можно использовать 2 списка один например inet (все клиенты) а другой например dolg (задолжники, временно отключенные, в этом списке по умолчанию все правила в состоянии disable)
Т.о. если надо кого-то временно отключить то просто в списке dolg ты переводишь соответствующее правило в состояние enable.
Выглядит это примерно так

/ip firewall filter

add action=reject chain=forward disabled=no dst-address-list=!local reject-with=icmp-admin-prohibited src-address-list=dolg

add chain forward connection-state=established action=accept comment="Allow established connections"
add chain forward connection-state=related action=accept comment="Allow related connections"
add chain=forward action=accept comment="accept forward Users" disabled=no src-address-list=inet

add chain=forward action=drop

В данном случае если ты выключаешь пользователя то у него прерываются конекты и в торенте, а также работает "страничка задолжников" (расположенная на другом локальном компьютере)
п.с. local - лист всех локальных подсетей.
и3вЕNUтЕ зА NеРоВнbIй n04Ерk! (HiComNet)

Аватара пользователя
nickolayenko

 
Сообщения: 102
Зарегистрирован:
26 дек 2008, 00:06
Откуда: Kiev

Re: раздача реальных ip на Mikrotik

Сообщение nickolayenko 05 окт 2009, 09:09

Всем спасибо

Аватара пользователя
stranger

 
Сообщения: 10
Зарегистрирован:
09 янв 2010, 22:09

Re: раздача реальных ip на Mikrotik

Сообщение stranger 09 янв 2010, 22:24

Люди смотрю собрались здесь грамотные, поэтому прошу помочь мне с решением такого вопроса:
На МТ два интерфейса - внешний(имеет белый ИП 94.25.30.X) и внутренний с адресом типа 192.168.0.Х Имеется n-ое количество белых ИП из той же подсети, что и ИП на внешнем интерфейсе. Есть желание раздавать желающим реальные ИП. Сеть сидит за НАТом, как мне выпустить из-за НАТа клиентов, имеющих белый ИП. Прошу сильно не пинать, если что-то не правильно сказал, ибо общаюсь с МТ не очень давно. Предполагаю, что в моем случае нужна связка src_nat+dst_nat, но хотелось бы получить реальный пример. Помогите, кто чем может.

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: раздача реальных ip на Mikrotik

Сообщение KirillTs 10 янв 2010, 12:24

http://www.mikrotik.com/testdocs/ros/3. ... t.php#.3.3

Add rule allowing the internal server to talk to the outer networks having its source address translated to 10.5.8.200

Вольный перевод: Добавляем правило, которое позволяет внутреннему серверу общаться с внешними сетями, транслируя внутренний адрес в 10.5.8.200

/ip firewall nat add chain=srcnat src-address=192.168.0.109 action=src-nat \
to-addresses=10.5.8.200

Аватара пользователя
stranger

 
Сообщения: 10
Зарегистрирован:
09 янв 2010, 22:09

Re: раздача реальных ip на Mikrotik

Сообщение stranger 10 янв 2010, 14:07

Пробовал я этот вариант - не работает. Интернет у юзера есть на приватном ИП, а при проверке адреса в инете получаю адрес роутера.

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: раздача реальных ip на Mikrotik

Сообщение KirillTs 10 янв 2010, 14:30

А это правило стоит выше общего маскарда?

Аватара пользователя
stranger

 
Сообщения: 10
Зарегистрирован:
09 янв 2010, 22:09

Re: раздача реальных ip на Mikrotik

Сообщение stranger 10 янв 2010, 14:47

стоит ниже общего... сейчас попробую поднять

то же самое. Кстати, я так понимаю при этих правилах настройки пользовательского компа не должны меняться?

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: раздача реальных ip на Mikrotik

Сообщение KirillTs 10 янв 2010, 15:18

Настройки меняться не должны, пакеты в правило попадают или по нулям?
Последний раз редактировалось KirillTs 10 янв 2010, 15:34, всего редактировалось 1 раз.

Аватара пользователя
stranger

 
Сообщения: 10
Зарегистрирован:
09 янв 2010, 22:09

Re: раздача реальных ip на Mikrotik

Сообщение stranger 10 янв 2010, 15:26

пакеты не попадают - все по нулям

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: раздача реальных ip на Mikrotik

Сообщение KirillTs 10 янв 2010, 15:30

пакеты не попадают - все по нулям

Ну вот и ответ.
Думай почему не попадают, у меня на компе адрес 192.168.0.10, предположим мне надо, чтобы он выходил с внешним адресом хх.хх.хх.231 вот 2 скрина:
Вложения
1.JPG
1.JPG (40.12 Кб) Просмотров: 28906
2.JPG
2.JPG (34.63 Кб) Просмотров: 29060

Аватара пользователя
stranger

 
Сообщения: 10
Зарегистрирован:
09 янв 2010, 22:09

Re: раздача реальных ip на Mikrotik

Сообщение stranger 10 янв 2010, 15:42

я так понимаю, что scr-nat у тебя стоит до маскарада, а dst-nat после. Так?

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: раздача реальных ip на Mikrotik

Сообщение KirillTs 10 янв 2010, 15:47

src-nat до маскарда, dst-nat не создавал(тоже самое только наоборот =) и тоже выше маскарда надо ставить).

Аватара пользователя
stranger

 
Сообщения: 10
Зарегистрирован:
09 янв 2010, 22:09

Re: раздача реальных ip на Mikrotik

Сообщение stranger 10 янв 2010, 15:58

поставил правила, как у тебя - пошли пакеты, но страницы не открываются. Пинг на яндекс проходит. Если в правилах прописать src-port = 80, тогда страницы открываются, но ИП все равно роутера. Нужно ли прописывать для внешнего интерфейса тот ИП, под которым хочешь выйти? (у меня прописан)

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: раздача реальных ip на Mikrotik

Сообщение KirillTs 10 янв 2010, 16:12

stranger писал(а):внешнего интерфейса тот ИП, под которым хочешь выйти? (у меня прописан)

Имеешь ввиду в ip>addresses? если да, то нет =)

Аватара пользователя
stranger

 
Сообщения: 10
Зарегистрирован:
09 янв 2010, 22:09

Re: раздача реальных ip на Mikrotik

Сообщение stranger 10 янв 2010, 17:22

подведу итог на данный момент.
- есть правило scr-nat располагается над основным маскардом.
- пакеты в правило попадают
- ип на внешнем интерфейсе не прописан
- пинг до яндекса есть, но страницы инета не открываются
- если прописать scr-port = 80 интернет появляется, но правило перестает работать и ип определяется, как у роутера
Отсюда вопрос, куда рыть дальше?

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: раздача реальных ip на Mikrotik

Сообщение KirillTs 10 янв 2010, 17:46

stranger писал(а):- если прописать scr-port = 80 интернет появляется, но правило перестает работать и ип определяется, как у роутера

так это если исходящий порт 80, если хочешь чтобы правило работало при обращении на 80 порт, тогда надо dst. port.

stranger писал(а):Отсюда вопрос, куда рыть дальше?

Т.е. когда направляешь пакеты на реальник связи нету.

Надо проверить правильность внешних адресов, может даже косяк какой нить у провайдера, посмотри tracert, выруби все drop в файрволле, оставь только необходимые правила... тут бубен нужен да побольше =)

Аватара пользователя
stranger

 
Сообщения: 10
Зарегистрирован:
09 янв 2010, 22:09

Re: раздача реальных ip на Mikrotik

Сообщение stranger 10 янв 2010, 18:35

разобрался в чем дело.
1. Позвонил прову, чтобы дал доступ ип в инет
2. Прописал на внешнем интерфейсе доп адрес, под которым собрался выходить и тогда заработало.

Возникает следующий вопрос, если буду людям выдавать белые ип и прописывать их в большом количестве на внешний интерфейс не завалится ли у меня он при его одновременном совместном использовании?

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: раздача реальных ip на Mikrotik

Сообщение KirillTs 10 янв 2010, 19:03

Хм, как то подругому у вас там все реализовано, у меня на внешнем интерфейсе только адрес смотрящий на провайдера, и все работает...

stranger писал(а):Возникает следующий вопрос, если буду людям выдавать белые ип и прописывать их в большом количестве на внешний интерфейс не завалится ли у меня он при его одновременном совместном использовании?

А если в большом количестве, нафиг извращаться? ... возвращайся к второму сообщению в этой ветке, /ip route ;) раздашь юзерам белые ip которые они у себя пропишут.

Аватара пользователя
stranger

 
Сообщения: 10
Зарегистрирован:
09 янв 2010, 22:09

Re: раздача реальных ip на Mikrotik

Сообщение stranger 10 янв 2010, 19:07

хм, а как быть с теми, кому реальник не нужен? На всех у меня ИП не хватит.

Аватара пользователя
stranger

 
Сообщения: 10
Зарегистрирован:
09 янв 2010, 22:09

Re: раздача реальных ip на Mikrotik

Сообщение stranger 10 янв 2010, 19:40

все разобрался - теперь работает, как надо. Огромное спасибо за помощь!!! Единственное место, где есть люди, способные нормально объяснить!!!

Пред.След.

Вернуться в Сетевое программное обеспечение

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6

cron