Έψαξα για το hairpin. Αρχικά να πω το setup:
Εσωτερική θύρα 5000, IP 10.10.10.120, port forward (dst-nat) απο εξωτερική 20000 σε εσωτερική 5000.
Hairpin nat απο το wiki:
Δοκίμασα αυτά τα 2 για εμένα και πάλι δεν έπαιξε:Κώδικας:/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 \ dst-address=192.168.1.2 protocol=tcp dst-port=80 \ out-interface=LAN action=masquerade
Κώδικας:/ip firewall nat add chain=srcnat src-address=10.10.10.0/24 \ dst-address=10.10.10.120 protocol=tcp dst-port=20000 \ out-interface=bridge1 action=masqueradeΚώδικας:/ip firewall nat add chain=srcnat src-address=10.10.10.0/24 \ dst-address=10.10.10.120 protocol=tcp dst-port=5000 \ out-interface=bridge1 action=masquerade
Εμφάνιση 646-660 από 2112
-
16-09-17, 22:57 Απάντηση: Mikrotik IPv4/IPv6 firewall #646
-
16-09-17, 23:47 Απάντηση: Mikrotik IPv4/IPv6 firewall #647
-
17-09-17, 01:12 Απάντηση: Mikrotik IPv4/IPv6 firewall #648
Αυτό είναι το σωστό.
Κώδικας:/ip firewall nat add chain=srcnat src-address=10.10.10.0/24 \ dst-address=10.10.10.120 protocol=tcp dst-port=5000 \ out-interface=bridge1 action=masquerade
Κανονικά πρέπει να είναι έτσι
Κώδικας:chain=dstnat action=dst-nat to-addresses=10.10.10.120 to-ports=5000 protocol=tcp dst-port=20000 log=no log-prefix=""
Επίσης πρέπει να είναι πρώτο το dstnat και από κάτω το srcnatΤελευταία επεξεργασία από το μέλος kostas2911 : 17-09-17 στις 01:22.
-
28-09-17, 18:25 Απάντηση: Mikrotik IPv4/IPv6 firewall #649
Καλησπέρα παίδες,
Ερώτηση σε ένα δίκτυο 192.168.1.0/24 θέλω από το 70 εώς το 90 να βλέπουν από το internet μόνο 1 site για παράδειγμα το adslgr.com με ποιο τρόπο μου προτείνεται να το κάνω;Μην ψάχνεις λόγους κι αφορμές να με κατηγορήσεις
δεν φταιω εγω που δεν μπορείς εσύ να με κρατήσεις
-
28-09-17, 21:19 Απάντηση: Mikrotik IPv4/IPv6 firewall #650
Ο εύκολος τρόπος είναι αυτός
Κώδικας:/ip firewall filter add action=drop chain=forward dst-address=!178.162.211.13 src-address=192.168.1.70-192.168.1.90
Καλύτερος τρόπος είναι με opendns. Φτιάχνεις μια whitelist στο opendns και μετά με αυτόν τον κανόνα
Κώδικας:/ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.1.70-192.168.1.90 to-addresses=208.67.222.222 to-ports=53
-
29-09-17, 12:35 Απάντηση: Mikrotik IPv4/IPv6 firewall #651
@kostas
Για αρχή θέλω να σε ευχαριστήσω που μου απάντησες και ασχολήθηκες, επειδή δεν είναί μόνο το adslgr.com που θέλω να βλέπουν είναι 6 site ακόμα + το google drive έλεγα να το κάνω με regular expression στο layer7, πως σου φαίνεται σαν ιδέα και ρωτάω και θέλω την γνώμη σου γιατί αν μη τι άλλο βλέπω ότι έχεις και μια εξειδίκευση στα mikrotikΜην ψάχνεις λόγους κι αφορμές να με κατηγορήσεις
δεν φταιω εγω που δεν μπορείς εσύ να με κρατήσεις
-
29-09-17, 12:52 Απάντηση: Mikrotik IPv4/IPv6 firewall #652
Πολύ ωραίο θέμα θίγει ο rebeskes. Πόσο αποτελεσματικό και πρακτικό είναι λοιπόν το Layer 7 matching? Υπάρχουν best practices που αποδίδουν καλύτερα αποτελέσματα? Υπάρχουν γνωστές περιπτώσεις (από δημοφιλή web apps) που δεν θα δουλέψει σωστά? Ποιο είναι το Impact στο router από άποψη performance? Αναμένουμε από τους RouterOS gurus!
-
29-09-17, 22:12 Απάντηση: Mikrotik IPv4/IPv6 firewall #653
Προσωπικά σε παρόμοια κατάσταση δούλεψα με opendns.
Με layer7 το προσπάθησα αλλά δεν κατάφερα κάτι. Δεν είχα και πολύ χρόνο τότε και δεν ξανά ασχολήθηκα.
-
30-09-17, 23:23 Απάντηση: Mikrotik IPv4/IPv6 firewall #654
Σε layer 7 τα patterns είναι παλιά και δε δουλεύει σωστά.
-
02-10-17, 10:05 Απάντηση: Mikrotik IPv4/IPv6 firewall #655
@lagman δηλαδή; μπορείς να το εξηγήσεις;
Μην ψάχνεις λόγους κι αφορμές να με κατηγορήσεις
δεν φταιω εγω που δεν μπορείς εσύ να με κρατήσεις
-
03-10-17, 12:51 Απάντηση: Mikrotik IPv4/IPv6 firewall #656
Δηλαδή για κάποιες εφαρμογές οι κανόνες που μαρκάρουν τα πακέτα τους πρέπει να ενημερωθούν, γιατί οι εφαρμογές αλλάζουν.
Πχ skype έχω ακούσει από αρκετούς ότι δεν μπορούν να το φιλτράρουν σε layer 7.
Αν πας σε άλλο κατασκευαστή με πανάκριβο εξοπλισμό τα πιάνεις όλα.
-
04-10-17, 00:56 Απάντηση: Mikrotik IPv4/IPv6 firewall #657
Αποτελεσματικά? Πολύ.
Πρακτικά? Καθόλου.
Υπάρχουν best practices που αποδίδουν καλύτερα αποτελέσματα?
Υπάρχουν γνωστές περιπτώσεις (από δημοφιλή web apps) που δεν θα δουλέψει σωστά?
Ποιο είναι το Impact στο router από άποψη performance?
Ερώτηση σε ένα δίκτυο 192.168.1.0/24 θέλω από το 70 εώς το 90 να βλέπουν από το internet μόνο 1 site για παράδειγμα το adslgr.com με ποιο τρόπο μου προτείνεται να το κάνω;
Κώδικας:/ip firewall address-list add address=www.adslgr.com list=test
Από εκεί και πέρα ξεκινάς στην αλυσίδα forward τα drop σου μαζί με την λίστα των επιθυμητών υπολογιστών (IP's)
-
04-10-17, 11:06 Απάντηση: Mikrotik IPv4/IPv6 firewall #658
-
04-10-17, 12:58 Απάντηση: Mikrotik IPv4/IPv6 firewall #659
Δεν χρειάζεται να έχεις κάποιο dns server ακόμα και αυτό της google δουλεύει μια χαρά, αρκεί να το δηλώσεις στο IP --> DNS του mikrotik έτσι ώστε να κάνει resolve to router στους κανόνες.
Απλό παράδειγμα λοιπόν:
Έστω ότι θες να μπλοκάρεις το range 192.168.1.70-192.168.1.90 να ΜΗΝ μπαίνουν.....
Κώδικας:/ip firewall address-list add address=192.168.1.70-192.168.1.90 list=hosts_to_be_blocked
Κώδικας:/ip firewall address-list add address=www.adslgr.com list=block_desired_domains add address=www.in.gr list=block_desired_domains
ο κανόνας του firewall μεταμορφώνεται ως εξής :
Κώδικας:/ip firewall filter add action=drop chain=forward dst-address-list=block_desired_domains src-address-list=hosts_to_be_blocked
O παραπάνω τρόπος δεν δουλεύει σε domain τα οποία έχουν πολλαπλά A records
πχ
Κώδικας:microsoft.com A 23.96.52.53 IN 2181 microsoft.com A 191.239.213.197 IN 2181 microsoft.com A 104.40.211.35 IN 2181 microsoft.com A 104.43.195.251 IN 2181 microsoft.com A 23.100.122.175 IN 2181
Εκεί δυστυχώς μόνο dns filtering όπως πολύ σωστά αναφέρθηκε πολλάκις στο παρών thread.Τελευταία επεξεργασία από το μέλος ayger : 04-10-17 στις 13:38. Αιτία: τυπογραφικά
-
04-10-17, 15:32 Απάντηση: Mikrotik IPv4/IPv6 firewall #660
@ayger
Για αρχή θέλω να σε ευχαριστήσω και για τον χρόνο σου και για την απάντησή σου
Με την πρώτη ευκαιρία θα δοκιμάσω τον τρόπο σου, μου φαίνεται λίγο πιο τακτοποιημένος θα δούμε
Προς το παρόν δοκιμάζω τον τρόπο που πρότεινε ο @kostas2911 με το OPENDNS και τον ευχαριστώ γι αυτό.
Θέλω να τον δοκιμάσω όμως για να το καταλάβω.
Και πάλι ευχαριστώΜην ψάχνεις λόγους κι αφορμές να με κατηγορήσεις
δεν φταιω εγω που δεν μπορείς εσύ να με κρατήσεις
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks