forum.lan.md

[gridis]

Доброго времени суток!

После долгой и изнурительной настройки, я смог добиться от микротика всего того, что хотел, правил много, но вроде все работает, но встала другая проблема, у меня микротик защищает внутреннию сеть от взлома и проникновения хакеров, но внутри сети есть веб сервер, который смотрит наружу( организовано с помощью порт форвардинг), но встала проблема, все запросы приходящие на веб сервер маркируются IP адресом микротика, и получается что я не знаю, кто ко мне заходит и с какого ip.

У меня вопрос, что нужно дописать в порт форвандинг, что бы он маркировал его истинным ip адресом, а не своим?

Заранее спасибо!

[Igoras]

убрать в ip-firewall-nat правило, которые делает src-nat для тех пакетов, которые приходят извне в сторону веб-сервера.

Возможно конкретно такого правила нет, а это действие попадает под плохо конкретизированное какое-то другое правило src-nat. Думаю стоит пересмотреть их все. Конкретней сказать не могу - какой вопрос, такой и ответ.

[gridis]

У меня единственное правило, это маскардин для доступа в нет, что с ним делать, то бы нормально все заработало?

[Igoras]

указать out-interface = интерфейс к провайдеру

[gridis]

Так.... но теперь перестали работать правила которые я создавал для того, что бы при обращении на внешнии ip адреса микротика, он перенаправлял на внутренний веб сервер, то есть перестал работать dst-nat

[young]

2 gridis:

все запросы приходящие на веб сервер маркируются IP адресом микротика

значит они у тебя натятся. nat (network address translation) == преобразование сетевых адресов. тебе где надо видеть тех, кто заходить на веб-сервер ? на самом микротике или в логах веб-сервера ?

что нужно дописать в порт форвандинг, что бы он маркировал его истинным ip адресом, а не своим?

У меня единственное правило, это маскардин для доступа в нет, что с ним делать, то бы нормально все заработало?

для начала надо бы показать, что именно и как ты делаешь в цепочке нат-а. опять же - если у тебя, как ты заявляешь, единственное правило там, то это чушь. ибо маскарадинг позволяет прокидывать наружу внутренние адреса, а не делать портфорвардинг и доступ снаружи внутрь. если нужна помощь, то не считай окружающих телепатами.

[gridis]

Никто не считает вас телепатами, я просто спросил.... вот скрин...

Уточняю, это компы стоят дома, и интернет используется для обычных целей, полазить по сайтам и поиграть + стоят несколько серверов, на которых ведется работа и вот это все я хочу что бы работало через 1 канал интернета

PS сразу говорю, интерфесов всего 3, 2 смотрят наружу через 1 соединение с провайдером, 1 внутрь (ether1 - внутрь, 2 и 3 наружу)
ether2 - используется для маскардинга

[gridis]

значит они у тебя натятся. nat (network address translation) == преобразование сетевых адресов. тебе где надо видеть тех, кто заходить на веб-сервер ? на самом микротике или в логах веб-сервера ?

Мне надо видеть в сценарии php.

[young]

2 gridis:
приведение примера в виде скриншота является не самым лучшим вариантом из-за того, что куча полей в правилах просто не показывается. ну это так, на будущее.

приведи содержимое файла blablabla (полученного после ip firewall nat export file=blablabla)

далее - что именно появляется в логах твоего апача (или что там у тебя стоит) ?

2 смотрят наружу через 1 соединение с провайдером

смысл ?


для примера:
ip firewall nat add chain=dstnat action=dst-nat to-addresses=внутренний_адрес_локального_веб_сервера to-ports=80 in-interface=внешний_интерфейс dst-port=80 protocol=tcp comment="forward web-server" disabled=no
прекрасно прокидывает обращения внутрь. да и в логах на машинке с сервером я вижу именно внешние адреса.

[Igoras]

а в рутинге что? какие-то рутинг марки, и прочее... и какой дефолт гейт стоит...

а еще, как проверяется доступ к веб-серверу через НАТ - извне или изнутри? чтобы работало сейчас изнутри таки нужен еще один срц-нат, который будет преобразовывать локальные адреса, и тогда на веб-сервере вместо локальных будет адрес микротика, или же надо заходить на сервер напрямую на его локальный адрес, настроить это можно с помощью 2 днсов - один для внешних полноценный, другой - для своих (в том же микротике).

[gridis]

gridis писал(а):
2 смотрят наружу через 1 соединение с провайдером

смысл ?

2 реальных ip адреса для DNS сервера

[gridis]

чтобы работало сейчас изнутри таки нужен еще один срц-нат, который будет преобразовывать локальные адреса, и тогда на веб-сервере вместо локальных будет адрес микротика

вот это как раз мне и нужно, из нутри мне все равно, с какого ip будут заходить на сервак, мне для разработки веб страниц не так важно, а вот из вне важно, впринципе, это единственный оставшийся вопрос

[Igoras]

вот это как раз мне и нужно, из нутри мне все равно, с какого ip будут заходить на сервак, мне для разработки веб страниц не так важно, а вот из вне важно, впринципе, это единственный оставшийся вопрос

ip firewall nat add chain=srcnat action=masquerade protocol=tcp src-address=локальная подсеть dst-address=внутренний_адрес_локального_веб_сервера dst-port=80 out-interface=ether1 comment="forward web-server from LAN" disabled=no
ip firewall nat add chain=dstnat action=dst-nat to-addresses=внутренний_адрес_локального_веб_сервера to-ports=80 in-interface=ether1 dst-port=80 protocol=tcp comment="forward web-server" disabled=no

[Igoras]

2 реальных ip адреса для DNS сервера

ужос... как это работает вообще... иногда поражаюсь

[young]

2 gridis:

2 реальных ip адреса для DNS сервера

и ? алиасы на одном интерфейсе отменили ? а то получется это либо очень-очень хитро, либо очень-очень глупо всё ещё не могу понять смысл в таком развёртывании

вот это как раз мне и нужно,

если я не ошибаюсь, то ты так и не привёл пример того, что у тебя там уже накручено в кучу.
можно, конечно, давать тебе кучу примеров, но оно может не работать совсем не из-за неправильности самих примеров. а из-за того, что у тебя где-то что-то уже отфильтровалось.

[gridis]

1 chain=srcnat out-interface=ether2 action=masquerade

2 ;;; IP
chain=dstnat in-interface=ether1 dst-address=77.73.91.34 protocol=tcp dst-port=80
action=dst-nat to-addresses=192.168.1.101 to-ports=80

3 chain=dstnat in-interface=ether1 dst-address=77.73.91.35 protocol=tcp dst-port=80
action=dst-nat to-addresses=192.168.1.101 to-ports=80

4 ;;; WEB
chain=dstnat in-interface=ether2 protocol=tcp fragment=no dst-port=80 icmp-options=0:0-255
action=dst-nat to-addresses=192.168.1.101 to-ports=80

5 chain=dstnat in-interface=ether3 protocol=tcp dst-port=80 action=dst-nat
to-addresses=192.168.1.101 to-ports=80

6 ;;; 1( )
chain=dstnat in-interface=ether2 protocol=udp dst-port=53 action=dst-nat
to-addresses=192.168.1.254 to-ports=53

7 X chain=dstnat in-interface=ether2 protocol=tcp dst-port=53 action=dst-nat
to-addresses=192.168.1.254 to-ports=53

8 ;;; 2 ( )
chain=dstnat in-interface=ether3 protocol=udp dst-port=53 action=dst-nat
to-addresses=192.168.1.254 to-ports=53

9 X chain=dstnat in-interface=ether3 protocol=tcp dst-port=53 action=dst-nat
to-addresses=192.168.1.254 to-ports=53

10 ;;; utorrent
chain=dstnat protocol=tcp dst-port=4682 action=dst-nat to-addresses=192.168.1.221
to-ports=4682

11 ;;; ssh
chain=dstnat in-interface=ether2 protocol=tcp dst-port=50001 action=dst-nat
to-addresses=192.168.1.101 to-ports=22

12 X ;;; ftp
chain=dstnat in-interface=ether2 protocol=tcp dst-port=21 action=dst-nat
to-addresses=192.168.1.200 to-ports=21

13 X chain=dstnat in-interface=ether3 protocol=tcp dst-port=21 action=dst-nat
to-addresses=192.168.1.200 to-ports=21

вот все что ты просил....

насчет альясов? это как? может я чего и не знаю, но у меня вопрос, r01.ru при делегировании DNS то она проверяет ip ns1 и ns2 и не дает повесить на 1 ip, вот почему мне понадобился 2 ip (точнее для 2 DNS серверов)

[young]

2 gridis:

насчет альясов? это как?

совсем кратенько, но понятно по смыслу тут.

ну и не мешает никто повесить два разных айпишника на один интерфейс:
ip address add address=ip1/netmask1 network=network1 broadcast=broadcast1 interface=interface comment="1st ip address" disabled=no
ip address add address=ip2/netmask2 network=network2 broadcast=broadcast2 interface=interface comment="2nd ip address" disabled=no

далее по сути:
у тебя в логах веб-сервера на машине 192.168.1.101 виден локальный адрес роутера при обращении снаружи на оба адреса (77.73.91.34 и 77.73.91.35) ? или только при обращении на первый, правильно информируя об обращении на второй ?

среди других правил тоже есть кривости, но это сейчас не важно.
а привести правила для цепочек из filter ты забыл ?

[Igoras]

young,
интересно, на сколько тебя хватит

[young]

2 Igoras:
ну я допоздна не сплю, иногда хочется поднять себе настроение

2 gridis:
обрати внимание на разницу команд print и export при выводе правил.

[gridis]

далее по сути:
у тебя в логах веб-сервера на машине 192.168.1.101 виден локальный адрес роутера при обращении снаружи на оба адреса (77.73.91.34 и 77.73.91.35) ? или только при обращении на первый, правильно информируя об обращении на второй ?

среди других правил тоже есть кривости, но это сейчас не важно.

Когда был полный маскардинг без out-interface=ether2, то было с обоих.... в данном случае все правильно определяется, все внешние ip, но вот если идет обращение на 34 и 35 айпишники из внутренней сети, то эффект ноль.... (у меня в свое время был адсл модеи и я через dyndns привязвал для него доменное имя, что бы можно было торрентом удаленно управлять, пока не дома, что бы приходить и не ждать пока фильм скачается..., вот он нормально прокидывал IP, даже без доп настроек)

Есть 2 варианта с DNS, но мне они оба не нравятся, так как если будут добавлять еще сайты, то это будет героморойно все зеркалировать, да и темболее с если будут домены 2 уровня, то там точно свехнешся....)))) а если просто дописывать в DNS еще 1 локальный адрес, то иногда девайсы используют его для доступа к сайту, а вы сами знаете, что эти адреса в нете не обрабатыватся.....

Export filter

/ ip firewall filter
add chain=forward in-interface=ether2 out-interface=ether1 action=accept comment=" \
\( \)" disabled=no
add chain=forward in-interface=ether3 out-interface=ether1 action=accept comment="" disabled=no
add chain=forward in-interface=ether1 out-interface=ether2 action=accept comment=" \
\( \)" disabled=no
add chain=forward in-interface=ether1 out-interface=ether3 action=accept comment="" disabled=no
add chain=input connection-state=established action=accept comment="Allow established connections" \
disabled=no
add chain=input connection-state=related action=accept comment="Allow related connections" \
disabled=no
add chain=input protocol=udp action=accept comment="Allow UDP" disabled=no
add chain=input protocol=icmp action=accept comment="Allow ICMP Ping" disabled=no
add chain=input protocol=tcp dst-port=50001 action=accept comment="" disabled=yes
add chain=forward in-interface=ether2 src-address=10.0.0.0/8 action=drop comment="fake 10.0.0.0/8" \
disabled=yes
add chain=forward in-interface=ether2 src-address=172.16.0.0/12 action=drop comment="fake \
172.16.0.0/12" disabled=yes
add chain=forward in-interface=ether2 src-address=192.168.0.0/16 action=drop comment="fake \
192.168.0.0/16" disabled=yes
add chain=input in-interface=ether2 action=drop comment="All other inputs drop" disabled=no
add chain=input in-interface=ether3 action=drop comment="" disabled=no

+ если не сложно, укажи кривости в нате, просто с английским я не силен да и нормальных книг по микротику практически нет, заранее спс!

[young]

2 gridis:
погоди-погоди ... у тебя налицо неумение правильно сформулировть задачу и задать вопрос ...

вот сам смотри:
1)

но встала проблема, все запросы приходящие на веб сервер маркируются IP адресом микротика, и получается что я не знаю, кто ко мне заходит и с какого ip.

это понимается как обращение снаружи, неправильную прокидку и свечение в логах веб-сервера адреса микротика вместо внешних адресов обращающихся клиентов.
2)

Так.... но теперь перестали работать правила которые я создавал для того, что бы при обращении на внешнии ip адреса микротика, он перенаправлял на внутренний веб сервер, то есть перестал работать dst-nat

эта фраза подтверждает, что речь идёт именно о прокидке клиентов снаружи внутрь
3)

вот это как раз мне и нужно, из нутри мне все равно, с какого ip будут заходить на сервак, мне для разработки веб страниц не так важно, а вот из вне важно, впринципе, это единственный оставшийся вопрос

и третий раз речь идёт именно об обращении снаружи

и сейчас, когда у тебя уточнили про видимые в логах адреса, ты ответил:

в данном случае все правильно определяется, все внешние ip, но вот если идет обращение на 34 и 35 айпишники из внутренней сети, то эффект ноль....

так ты можешь определиться сам для себя, что именно ты хочешь, и что именно тебе надо ?
если у тебя всё работает снаружи, как ты хотел, то в чём вопрос ?


тираду про днс-ы так и не понял. хотя скажу честно - прямо уж сильно не старался

в фильтре:
добавь дропанье подключений с кривым состоянием.
реши для себя, как реорганизовать свои интерфейсы, правил будет меньше и проще.
а как именно у тебя что-то защищается ? ицмп-флуд прекрасно пройдёт. удп-порты все открыл.

в нате:
добавь в качестве срц-адреса подсетку локальную в маскараде.
в прокидывании 80-го порта поправь первое правило по типу второго. фильтрацию надо делать в фильтре, а не доп-правилами в нате.
если алиасами адреса пропишешь, то прокидывание днс-а сведётся к одной строке.
для торрента входящий интерфейс внешний добавь.


ты уж извини, но без английского в технической документации будет оооочень сложно. лучше учи сразу.

потрать время, нарисуй схемку, обдумай, что и как ты конкретно себе представляешь, а потом уже с этим спроси, как реализовать. ибо сейчас у тебя "с миру по нитке", при этом сам не понимаешь по-английски, а удивляешься глюкам.

[gridis]

))) ну скажем так, как проще обьяснить....
У меня имеется DNS и веб сервак, мне необходимо разместить их за микротиком, что бы микротик выполнял роль файрволла + раздавал интернет во внутреннюю локальную сеть....
изначально было 2 вопроса:
1. Как сделать так, что бы при обращении к веб серверу через микротик, в логах веб сервера были реальные айпишники, а не айпишник микротика
2. Как сделать так, что бы при обращении на внешние айпишники микротика (скажем на 80 порт, но потом может появится почта, IRC и тд), он перенаправлял на внутренний веб сервер, без дополнительных заморочек с ДНС сервером

А насчет тирады, тут просто (конечно если ты знаешь как работает ДНС ):
1. это отдельный домен (просто тупая замена), но это не подходит, так как если будет расти число доменов, то тут просто можно запутаться....
2. добавлять алиас адрес внутренего веб сервера, тогда когда он всех переберет, то на локальном веб сервере остановится, но как показали тесты, не все браузеры умеют с этим нормально работать да и не всегда хотят....

+ если знаешь, где нормальная есть документация на русском, что даст возможность разобраться с микротиком, что бы защитить себя максимально (скажем на 99.99%) )))), просто для меня этот вопрос уже стал критичным ....

[young]

2 gridis:

У меня имеется DNS и веб сервак, мне необходимо разместить их за микротиком, что бы микротик выполнял роль файрволла + раздавал интернет во внутреннюю локальную сеть....

ну и ? уже пережёвывали данные правила ...
/ ip firewall nat add chain=dstnat action=dst-nat to-addresses=int_dns_ip to-ports=53 сиськи in-interface=ext_if dst-port=80 protocol=udp comment="forward dns-server" disabled=yes
/ ip firewall nat add chain=dstnat action=dst-nat кря-кря to-addresses=int_dns_ip to-ports=53 in-interface=ext_if dst-port=80 protocol=tcp comment="forward dns-server" disabled=yes
/ ip firewall nat add chain=dstnat action=dst-nat to-addresses=int_web_ip to-ports=80 in-interface=ext_if dst-port=80 protocol=tcp comment="forward web-server" жжжж disabled=yes
/ ip firewall nat add chain=srcnat тест action=masquerade out-interface=ext_if src-address=local_network/net_mask comment="masquerade internal network" disabled=no
пример прокидывания почты, ирка и т.д. тут ещё не надо приводить ? по аналогии поймёшь ?

конечно если ты знаешь как работает ДНС

это ты типа подколол, да ? ) суть "непонимания тирады" не в принципах работы, а в смысле того, зачем так делать
про очень-очень хитро или очень-очень глупо я уже говорил, да ?
давай с другой стороны подойдём - тебе вообще от днс-сервера записи какого типа нужны ? статических записей А-типа на самом микротике тебе не хватит ? а если не хватит, то бинд-пакет для 2.9.x версии мт пробовал ? а версия мт вообще какая ?

"нормальная документация" всегда та, которую делает сам производитель. тут всё, что нужно. берёшь онлайн-переводчики или что-то подобное и переводишь но лучше учить язык.
а вообще поиском куча статей находится переведённых. например, тут или тут. но самые рулезные докухи тут. или лень, да ?

[gridis]

Мда..... спасибо конечно что откликнулся )))) но все не то, что ты мне написал, все у меня есть.... может конечно не так точно, но все работало и работает исправно..... ))) и я этому рад, но вопрос темы изначально был не этот....

Версия микротика 2.9.27 (крякнутая), пока думаю, на чем остановится, на циско или микротике, за софт платить не буду.... ну потом можно и купить, если все нормально будет....

Потом пишешь правила, и в них ошибки, причем очень грубые..... (я думаю, тебе показывать не придется), про бинд для мт слышал, мне не подходит.... так как со временем сайты будут добавлять через веб панель, а замарачиваться я пока не хочу....

Спасибо еще раз, я все же подчеркнул для себя пару правил которые требовали доработке, но как я вижу, вы не знаете как решить мою проблему!

[young]

2 gridis:

но все не то, что ты мне написал, все у меня есть.

именно из соображений, что у тебя частично есть, я и повторил, как оно должно быть на самом деле правильно. с намёком, что тебе надо подкорректировать свои.

и я этому рад, но вопрос темы изначально был не этот....

именно поэтому я тебе и сказал - сформулируй свою задачу. на то, как ты формулируешь это до сих пор, ответ будет именно такой поверхностный, каким я его делаю. потому что за тебя никто не собирается думать и читать мысли. приложи усилия для того, чтобы донести свои задачи

Потом пишешь правила, и в них ошибки, причем очень грубые..... (я думаю, тебе показывать не придется)

ты _действительно_ уверен, что я допускаю ошибки ? ) ты не рассматриваешь вопрос так, что тут сделана примитивная защита от копи-паста, чтобы человек думал предварительно, что он пишет, а не просто копировал ? гы гы гы ... рассмешил, спасибо

про бинд для мт слышал, мне не подходит.... так как со временем сайты будут добавлять через веб панель, а замарачиваться я пока не хочу....

т.е. тот функционал, который предоставляется без какого-либо cms, тебя не устраивает на данный момент, пока ты даже понять не можешь, чего хочешь ? кто тебе мешает использовать мелкую подсетку реальных адресов и держать полнофункциональный бинд у себя внутри ? заметь - тут за тебя продумывают варианты и предлагают, а ты сформулировать конкретно не можешь, почему не подходит.

но как я вижу, вы не знаете как решить мою проблему!

вот ты забавный человек корректнее было бы: да, спасибо, вы даёте мне намёки и намётки, но не хотите додумать за меня, как мне что сделать, а сам я не могу это описать

но пожалуйста.