forum.lan.md

[gridis]

ТАК.... я смотрю, свою персону ты очень любишь.... ))) не спорю, правильно, но раз собрался помогать людям, то делай корректно, не все "такие умные как ты"....

Ну раз ты вопрос мой не понимаешься, покажу на пальцах...смотри:

1. имеется внутренняя сеть, (192.168.1.0/24) - интерфес на микротике (192.168.1.250)
2. имеются 2 внешних ip адреса
3. во внутренней сети умеются 3 сервера (2 DNS - 1 веб) - веб в последствии станет кластером, но пока это значение не имеет....
4. во внутренней сети так же есть еще 4 компа + вайфай (точка доступа, что бы с ноута мать могла пользоваться инетом там где ей удобно + еще пара заморочек)
5. необходимо сделать следующее:
5.1. пробросить порты с внешних интерфейсов на внутреннии.... (сделано) и что бы в логах сервера все отображалось корректно (сделано)
5.2. сделать так, что бы при обращении на внешнии интерфесы микротика меня так же перекидывало на внутренний веб сервер, как будто я обратился из вне .... (не сделано и не работает)

Как говорил Igoras выше, нужно просто сделать еще 1 src-nat, но я не могу понять какой.... теперь понятно что я хочу? если нет, то укажи какой пункт ты понять не можешь?

[young]

2 gridis:

ТАК.... я смотрю, свою персону ты очень любишь.... ))) не спорю, правильно, но раз собрался помогать людям, то делай корректно, не все "такие умные как ты"....

ессно люблю себя. ессно знаю, что знаю больше. кто тебе сказал, что я собрался помогать ? я могу помочь, если буду считать, что это нужно сделать. и именно так, как я считаю нужным. ибо все мои ответы абсолютно информативны. недопонимание с твоей стороны есть не моя забота. заставлять других быть такими же умными у меня нет никакого желания. когда человеку нужна помощь врача, он приходит к нему и слушает, не устраивая сцен и не заявляя: доктор, вы даёте мне лекарство, но я хочу знать, почему именно так, немедленно мне всё объясните доступным языком. аналогия ясна ?

сделать так, что бы при обращении на внешнии интерфесы микротика меня так же перекидывало на внутренний веб сервер, как будто я обратился из вне ...

вот я тебе прямо тут не поленюсь и специально укажу пальцем - при прочтении сразу создаётся впечатление, что обращение на внешние интерфесы идёт снаружи, что и вызывает недопонимание, ибо кучу раз обсасывалось уже. хотя потом только всплывает "как будто извне", что наводит на мысль о том, что обращение изнутри идёт. построить сразу грамотно фразу ты не можешь, да ? вот именно из-за таких моментов тебе и говорят на протяжении всего топика - сформулируй правильно задачу, никто додумывать за тебя не хочет. так яснее ?
по ходу дела тебе уже откорректировали правила примерами - обрати внимание на них, не оставляя старые.

ну вот теперь твой вопрос прост и ясен: как обращения клиентов из локалки на внешний ip-адрес веб-сервера (который для всех с внешки прокидывается микротиком внутрь на локальный адрес) завернуть обратно в локалку на внутренний адрес веб-сервера, чтобы ещё и в логах локального веб-сервера указывались локальные адреса клиентов ?
но почему это за тебя должны формулировать другие ?

правда, так и не ясно, к чему тогда ты заявлял ранее:

вот это как раз мне и нужно, из нутри мне все равно, с какого ip будут заходить на сервак, мне для разработки веб страниц не так важно, а вот из вне важно, впринципе, это единственный оставшийся вопрос

... если прокидывание снаружи тебе описали, а изнутри доступ для тебя то важен, то нет ...



а теперь немного теории: представь, что твой клиент обращается к внешнему айпишнику, который должен прокидываться внутрь на веб-сервер. его пакет обрабатывается, в качестве получателя выставляется внутренний адрес веб-сервера, пакет выбрасывается по таблице роутинга обратно в локалку к веб-серверу, доходит до него и принимается (помним, что адрес отправителя из внутренней подсетки, адрес получателя из внутренней подсетки). теперь веб-сервер отвечает на запрос на тот адрес, с которого этот самый запрос пришёл (помним, да, что у нас запросил клиент с адресом из локалки ?), кидая ответ непосредственно клиенту. но тут забавная ерунда получается - клиент получает пакет, который пришёл совсем не от того хоста, к которому он обращался (помним, да, что обращались мы не на адрес из локалки ?), посему данный пакет дропает. выводы ?
пути лечения:
* сбрасывать пакеты на роутер, откуда он под своим адресом будет обращаться к веб-серверу, потом получать на себя ответы и отдавать их клиенту. светиться что будет ? да, адрес роутера.
* выбрасывать пакеты на роутер, изменять адреса источника на какие-то внешние (если у тебя они есть), возвращать обратно в локалку к веб-серверу, который будет так же отвечать роутеру, который дальше вернёт их клиентам. что будет светиться ? да, внешние адреса твоих внутренних клиентов.
* обращаться из локалки напрямую на локальный адрес веб-сервера. светиться что будет ? да, адреса клиентов.
* править грамотно таблицу роутинга на основании источника, получателя, интерфейса с бубном и танцами в твоём случае особенно.
* давать своему веб-серверу реальный айпи из прокинутой внутрь мелкой подсетки реальных адресов, чтобы клиенты резолвили его напрямую.

выбирай

[gridis]

* сбрасывать пакеты на роутер, откуда он под своим адресом будет обращаться к веб-серверу, потом получать на себя ответы и отдавать их клиенту. светиться что будет ? да, адрес роутера.
* выбрасывать пакеты на роутер, изменять адреса источника на какие-то внешние (если у тебя они есть), возвращать обратно в локалку к веб-серверу, который будет так же отвечать роутеру, который дальше вернёт их клиентам. что будет светиться ? да, внешние адреса твоих внутренних клиентов.

вот эти 2, но второй мне кажется уж очень сильно мудреным.....
Хотя в данном случае первый тоже подходит, так как мне не важно кто из моего локальной сети будет смотреть сайты.... кроме меня наверно никто... )))
здесь я думаю на твое усмотрение, просто возможно есть подводные камни и я не хотел бы потом на них нарваться....

[young]

2 gridis:
хм ... ну на тебе первый вариант. только я же написал сразу - будет светиться адрес роутера внутренний. то нужно это, то не нужно ...

/ ip firewall nat add chain=dstnat action=dst-nat to-addresses=int_web_ip to-ports=80 in-interface=int_if dst-address=ext_web_ip dst-port=80 сиське protocol=tcp src-address-list=clients
/ ip firewall nat add chain=srcnat action=src-nat to-addresses=int_router_ip to-ports=80 письке dst-address=int_web_ip dst-port=80 protocol=tcp src-address-list=clients

из подводных камней - не забыть разрешить форвард на веб-сервер, если он где-то выключается:
/ ip firewall filter add chain=forward action=accept ась? in-interface=int_if out-interface=int_if dst-address=int_web_ip src-address-list=clients

ну и включить логирование можно (до форварда), если хочется видеть, кто из клиентов лезет:
/ ip firewall filter add chain=forward action=log dst-address=int_web_ip во-во src-address-list=clients log-prefix="WEB"

[gridis]

Так, я сделал как ты сказал, но что-то ничего неполучилось.....
НАТ

Код: Выделить всё

add chain=srcnat out-interface=ether2 src-address=192.168.1.0/24 action=masquerade comment="" \
    disabled=no 
add chain=dstnat in-interface=ether1 dst-address=77.73.91.34 protocol=tcp dst-port=80 \
    src-address-list=clients action=dst-nat to-addresses=192.168.1.101 to-ports=80 comment="" \
    disabled=no 
add chain=srcnat dst-address=192.168.1.101 protocol=tcp dst-port=80 src-address-list=clients \
    action=src-nat to-addresses=192.168.1.250 to-ports=80 comment="" disabled=no 

Filter

Код: Выделить всё

add chain=forward in-interface=ether2 out-interface=ether1 dst-address=192.168.1.101 \
    src-address-list=clients action=accept comment="" disabled=no 
add chain=forward dst-address=192.168.1.101 src-address-list=clients action=log log-prefix="WEB" \
    comment="" disabled=no 

и если не трудно, приведи пример второго роутинга, просто хочу посмотреть, что больше подойдет....

[young]

2 gridis:
ээээ .... нет, извини. по смыслу догадайся. ибо это уже смешно - столько обсуждали, что и куда прокидывать.
[upd] - это писалось к стёртой просьбе объяснить, что есть int_web_ip и ext_web_ip

далее:
что в твоём понимании "но что-то ничего неполучилось" ? ты конкретнее проблему сформулировать можешь ? я тебе пример рабочий с себя дал. даю подсказку - а не пихал ли ты свои правила в конце цепочек, когда их уже обработали и дропнули ранее ?

[gridis]

это я понял, посмотри что получилось.... где косяк?

[gridis]

нет, они в самом начале, все остальные отключены....
Я тебе привел выше как я все выполнил...

[young]

2 gridis:
ну вообще по правилам видно, что clients - это список внутренних айпишников тех, кому можно вот так вот прокидывать обращения. смею предположить, что он у тебя пустой.

и если не трудно, приведи пример второго роутинга, просто хочу посмотреть, что больше подойдет....

зачем тебе более жёсткая заморочка, если ты тут ещё разобраться не можешь ? ...



п.с. возьми вообще в привычку маскарадинг в конце делать. мало ли, вдруг тебе ещё как-то надо обработать пакеты, уходящие с етхер2-интерфейса, а в твоём случае ты пресекаешь другую обработку на корню.


[upd] у тебя в форварде ещё ошибка.

[gridis]

аааааааа, сек, сейчас попробую перенести.....

насчет второй версии, может просто я быстрее ее пойму.... насчет списка, да, наверно пустой, а он автоматически не формируется?

В форварде? что-то не вижу.... (можешь показать)

[young]

2 gridis:
ну можно, конечно, сделать правило для автоматического добавления всех адресов из локалки, кто запросит:
ip firewall filter add chain=forward action=add-src-to-address-list src-address=local_net/netmask dst-address=int_web_ip address-list=clients address-list-timeout=0s

но смысл ? разве админ не должен сам решать, кого добавлять, а кого нет ? мде ...
в форварде интерфейсы у тебя явно указаны не так, как указал я. да и по поводу логирования я дал указание тоже специально.

[gridis]

Код: Выделить всё

15:09:33 firewall,info WEB forward: in:ether1 out:ether1, src-mac 00:0e:a6:4b:26:2d, proto TCP (SYN), 
    192.168.1.101:52854->192.168.1.101:80, len 60 
15:09:34 firewall,info WEB forward: in:ether1 out:ether1, src-mac 00:1e:8c:48:f7:31, proto TCP (SYN), 
    192.168.1.221:55434->192.168.1.101:80, len 52 
15:09:37 firewall,info WEB forward: in:ether1 out:ether1, src-mac 00:1e:8c:48:f7:31, proto TCP (SYN), 
    192.168.1.221:55434->192.168.1.101:80, len 52 
15:09:43 firewall,info WEB forward: in:ether1 out:ether1, src-mac 00:1e:8c:48:f7:31, proto TCP (SYN), 
    192.168.1.221:55434->192.168.1.101:80, len 48 
15:09:53 firewall,info WEB forward: in:ether2 out:ether1, src-mac 00:02:55:53:ea:94, proto TCP (SYN), 
    90.151.46.245:1750->192.168.1.101:80, len 48 
15:09:53 firewall,info WEB forward: in:ether2 out:ether1, src-mac 00:02:55:53:ea:94, proto TCP (ACK), 
    90.151.46.245:1750->192.168.1.101:80, len 40 
15:09:53 firewall,info WEB forward: in:ether2 out:ether1, src-mac 00:02:55:53:ea:94, proto TCP (ACK,PSH), 
    90.151.46.245:1750->192.168.1.101:80, len 102 
15:10:47 firewall,info WEB forward: in:ether1 out:ether1, src-mac 00:0e:a6:4b:26:2d, proto TCP (SYN), 
    192.168.1.101:52922->192.168.1.101:80, len 60 
15:10:50 firewall,info WEB forward: in:ether1 out:ether1, src-mac 00:0e:a6:4b:26:2d, proto TCP (SYN), 
    192.168.1.101:52922->192.168.1.101:80, len 60 
15:10:53 firewall,info WEB forward: in:ether2 out:ether1, src-mac 00:02:55:53:ea:94, proto TCP (ACK,FIN), 
    90.151.46.245:1750->192.168.1.101:80, len 40 
15:10:54 firewall,info WEB forward: in:ether2 out:ether1, src-mac 00:02:55:53:ea:94, proto TCP (ACK), 
    90.151.46.245:1750->192.168.1.101:80, len 40 
15:10:56 firewall,info WEB forward: in:ether1 out:ether1, src-mac 00:0e:a6:4b:26:2d, proto TCP (SYN), 
    192.168.1.101:52922->192.168.1.101:80, len 60 

я подправил правило при логировании и форварде, добавил порт и вот что мне выдало в логе, вроде все пробрасывает из внутренних и внешних, только в браузер ничего не приходит

Насчет адресов думаю нет, а вот внешние можно, что бы с зарание известных ip ,блокировать весь траф на 80 порт, ты со мной не согласен?

[young]

2 gridis:
лог тебе показывает попытки обращения, не гарантируя, что обращение полностью выполнилось (это зависит от дальнейших правил).
поэтому для тестирования постарайся избегать кучи адресов, делай это с одного внутреннего. вот тогда и смотри лог, смотри счётчики пакетов в каждом из добавленных правил. если где-то пакеты не инкрементируются, значит правило по какой-то причине не отработалось. вот там и надо копать.

ещё раз говорю - правила брались с живого примера, ибо у себя специально набросал и проверил до того. как постить. значит затык либо в неаккуратности и невнимательности твоей, либо у тебя там картина в целом по правилам дальнейшим кривая.

и исключи в проверке обращения с 192.168.1.101 на 192.168.1.101 - это у тебя веб-сервер твой, да ?

[gridis]

Я все проверил, единственное, везде отключил список клиентов пока.... но я думаю, что это не смертельно, всего 5 правил у меня сейчас работает 3 в нате 2 в фильтре (еще у меня в mangle есть одно правило)

Код: Выделить всё

/ ip firewall mangle 
add chain=postrouting protocol=tcp tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu comment="" \
    disabled=no 
/ ip firewall nat 
add chain=dstnat dst-address=77.73.91.34/31 protocol=tcp dst-port=80 action=dst-nat \
    to-addresses=192.168.1.101 to-ports=80 comment="" disabled=no 
add chain=srcnat dst-address=77.73.91.34/31 protocol=tcp dst-port=80 action=src-nat \
    to-addresses=192.168.1.250 to-ports=80 comment="" disabled=no 
/ ip firewall filter 
add chain=forward dst-address=192.168.1.101 protocol=tcp dst-port=80 action=log log-prefix="WEB" \
    comment="" disabled=no 
add chain=forward dst-address=192.168.1.101 protocol=tcp dst-port=80 action=accept comment="" disabled=no

все что есть...

Может просто у тебя тогда были еще какие нибудь правила, которых здесь нет.... а нужны

[gridis]

Так, косяк нашел, оталось проверить, как из вне определятся ip

Появился другой, он пакеты портит... сайт доходит не полностью.... часть не открывается или не открывается весь....

[gridis]

идентификация не проходит вообще ....

[gridis]

+ запросы из вне тоже маркируются ip микротика.... (((((

[young]

2 gridis:
ну молодец, что нашёл. а я только начал писать было.
ессно, что будут маркироваться. ты же, блин, красава - адреса источника потёр (в виде клиентов), оно же тебе не принципиально. вот правило глобально и отрабатывается - для любого обращения.

а никто и не обещал, что будет полностью весь функционал. на адресе источника на сервере может многое строиться. к примеру - генерятся у тебя куки по нему, а потом твой клиент их не принимает, т.к. не для него подготовлено. и т.п.
ты вообще задумайся, почему бы тебе для тестов не проверять только снаружи. или изнутри по прямому адресу. или вообще давать всему реальные адреса. ведь в жизни оно так и будет.

[gridis]

а как насчет второго варианта, может он так сказать правильнее будет отрабатывать....

в этом я попробовал отключить src-nat и с внешний ip нормально проходят пакеты и все ок, если же его включить, то пакеты начинают бить и не полностью сайт приходит и идентификация не проходит....

[young]

2 gridis:
ну как бы логично, что при отключении ты меняешь правила, и они обрабатываются иначе, меняя и смысл того, что ты хотел получить.

второй вариант подразумевает наличие свободных внешних адресов по количеству клиентов, которые будут обращаться на твой веб-сервер. что, в общем-то, аналогично наличию мелкой подсетки реальных адресов для разворачивания внутрь с меньшим геморром. сколько у тебя есть свободных внешних адресов ? сколько у тебя клиентов ?

я сейчас уезжаю на пару дней, так что если у тебя будет всё, что требуется, попробуй сам по аналогии снатить и днатить правильными адресами. я потом посмотрю.

[gridis]

У меня всего 2 адреса, так что я думаю, что 2 вариант не получится....

а возможно создать такое правило, которое будет делать следующее:
при поступление пакета с 192.168.1.0/24 на адреса (внешние адреса микротика), то пакет перенаправляется на 192.168.1.101 и его отправителем делает ip ip адресом компа сделавшего запрос и потом общение осуществляется только между ними....(ну или через микротик, не так важно)

[gridis]

)))) Все, у меня получилось то что я хотел))))
выложить правила?
НАТ

/ ip firewall nat
add chain=dstnat dst-address=77.73.91.34/31 protocol=tcp dst-port=80 action=dst-nat \
to-addresses=192.168.1.101 to-ports=80 comment="" disabled=no
add chain=srcnat src-address=192.168.1.0/24 action=masquerade comment="" disabled=no

FILTER

add chain=forward dst-address=192.168.1.101 protocol=tcp dst-port=80 action=log log-prefix="WEB" \
comment="" disabled=no
add chain=forward dst-address=192.168.1.101 protocol=tcp dst-port=80 action=accept comment="" \
disabled=no

[young]

2 gridis:

при поступление пакета с 192.168.1.0/24 на адреса (внешние адреса микротика), то пакет перенаправляется на 192.168.1.101 и его отправителем делает ip ip адресом компа сделавшего запрос и потом общение осуществляется только между ними.

я тебе специально описал выше кусочек теории, почему отправитель будет дропать пакеты от сервера

)))) Все, у меня получилось то что я хотел))))

ну хорошо, если получилось то, что ты хотел правда, это почти ничем не отличается от тех правил, что давал я. маскарад и замена источника есть суть одно и то же в данном контексте. и работать оно у тебя будет так же - прокидывать через роутер на веб-сервер, потом обратно от него клиентам с теми же вытекающими проблемами. кроме того - правила слишком "широкие" получаются без указания интерфейсов и адресов-источников. да и не делай уже тогда ограничение по 80-му порту только, ибо всё остальное, кроме стандартного порта, прокидываться не будет.

[gridis]

я тебе специально описал выше кусочек теории, почему отправитель будет дропать пакеты от сервера

Да это и ламеру понят, что он дропать их будет, раз он их не запрашивал......

Да, спасибо.... ты дал мне как раз ту теорию, где я косячил... косяк правда 1 был, надо был маскардинг повесить в конце цепочки, а то он все перехватывал.....

И еще, если не сильно занят.... меня интересует грамотная защита, что бы ддос не прошел и исмп-флуд и тд.... куда компа и тд.... что бы все работало на 100%..... если поможешь, в долгу не останусь, может даже материальном)))))

[young]

2 gridis:

надо был маскардинг повесить в конце цепочки, а то он все перехватывал.....

где-то раньше я про это уже говорил ... )

И еще, если не сильно занят.... меня интересует грамотная защита, что бы ддос не прошел и исмп-флуд и тд

крайне неплохо описано тут, тут, тут, тут и тут. всё это взято отсюда.