1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Mikrotik SSH forwarding
« předchozí další »
Stran: 1 [2]

Mikrotik SSH forwarding

  • 24 Odpovědí
  • 8732 Zhlédnutí

mac0112

  • ***
  • 150
    • Zobrazit profil
    • E-mail
Re:Mikrotik SSH forwarding
« Odpověď #15 kdy: 13. 04. 2018, 17:51:07 »
Je to jednoduché jako facka, jestli ti nefunguje toto:
add action=dst-nat chain=dstnat comment=\
    "presmerovani SSH" disabled=yes \
    in-interface=pppoe-out1 port=2222 protocol=tcp to-addresses=192.168.3.26 \
    to-ports=22

tak je chyba někde jinde !
IP zaznamenána

Reklama

  • * * * * *

Jirka_V

  • ***
  • 243
    • ICQ komunikátor - 291953569
    • Zobrazit profil
    • Coreplay Play for Fun
Re:Mikrotik SSH forwarding
« Odpověď #16 kdy: 13. 04. 2018, 19:17:20 »
Tak problem vyresen vypadato ze jsem mel spatne nastaveny masquerade

mel jsem tam

Kód: [Vybrat]
 0    ;;; Masquerade for PPPoE
      chain=srcnat action=masquerade out-interface=O2_VDSL log=yes
     log-prefix="masquerade"

 1    chain=srcnat action=masquerade dst-address=192.168.88.125
       log=no log-prefix=""

 2    chain=srcnat action=masquerade dst-address=192.168.88.130
      log=no log-prefix=""

ale melo tam byt
Kód: [Vybrat]
 0    ;;; Masquerade for PPPoE
      chain=srcnat action=masquerade out-interface=O2_VDSL log=yes
     log-prefix="masquerade"

 1    chain=srcnat action=masquerade dst-address=192.168.88.125
      out-interface=O2_VDSL log=no log-prefix=""

 2    chain=srcnat action=masquerade dst-address=192.168.88.130
      out-interface=O2_VDSL log=no log-prefix=""

Mikrotik super zarizeni ale kdyz se clovek todle vsechno teprve uci je to pekelnej mucici nastroj   ;D
IP zaznamenána
Nobody is perfect, but i'll try my best!

Miky

Re:Mikrotik SSH forwarding
« Odpověď #17 kdy: 13. 04. 2018, 20:14:04 »
Ahoj,
rychle jsem to prosel a mrknu na to detailneji pozdeji ale jedna vec me prastila do oci.
Pokud na eth1 je jen modem v rezimu bridge a wan je PPOE tedy interface O2_VDSL

pak si oprav toto pravidlo

4    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix=""


4    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=O2_VDSL log=no log-prefix=""
IP zaznamenána

Miky

Re:Mikrotik SSH forwarding
« Odpověď #18 kdy: 13. 04. 2018, 21:39:01 »
Jeste k FW
chain=input action=drop in-interface=O2_VDSL log=no log-prefix=""

Citace: Jirka_V  13. 04. 2018, 15:15:14
Citace: jeniceek  13. 04. 2018, 14:10:50
Tohle pravidlo bude asi taky trochu zbytečné.

Pak bych ještě zkontroloval, jestli ses náhodou nedostal do toho address listu, který máš pro attackery

Citace
2    chain=srcnat action=masquerade dst-address=192.168.88.130 log=no log-prefix=""

Mam v siti 2 servery bez tech masquerade zaznamu nebylo mozne nane forwardovat zadne porty. 192.168.88.125 je ovsem jedinej na ktery se potrebuju dostat z venku prez SSH, 192.168.88.130 nanem jede jenom web a ftp a to funguje OK.

Proc by to bez tech 2 pravidel masquerade nefungovalo ?
IP zaznamenána

samalama

Re:Mikrotik SSH forwarding
« Odpověď #19 kdy: 13. 04. 2018, 23:22:01 »
Citace: Jirka_V  13. 04. 2018, 19:17:20
Tak problem vyresen vypadato ze jsem mel spatne nastaveny masquerade

mel jsem tam

Kód: [Vybrat]
 0    ;;; Masquerade for PPPoE
      chain=srcnat action=masquerade out-interface=O2_VDSL log=yes
     log-prefix="masquerade"

 1    chain=srcnat action=masquerade dst-address=192.168.88.125
       log=no log-prefix=""

 2    chain=srcnat action=masquerade dst-address=192.168.88.130
      log=no log-prefix=""

ale melo tam byt
Kód: [Vybrat]
 0    ;;; Masquerade for PPPoE
      chain=srcnat action=masquerade out-interface=O2_VDSL log=yes
     log-prefix="masquerade"

 1    chain=srcnat action=masquerade dst-address=192.168.88.125
      out-interface=O2_VDSL log=no log-prefix=""

 2    chain=srcnat action=masquerade dst-address=192.168.88.130
      out-interface=O2_VDSL log=no log-prefix=""

Mikrotik super zarizeni ale kdyz se clovek todle vsechno teprve uci je to pekelnej mucici nastroj   ;D

no neviem, ale mne tie pravidla nedavaju smyzel: maskujes zdrojovu adresu (src-nat), ak je cielova adresa lokalna (dst-address), ale odchadza cez wan interface (out-interface?

treba ti 2 maskarady: jednu src-nat, ktora bude skryvat lokalny trafik zo siete 192.168.88.0/24 (src-address) odchadzajuci cez wan rozhranie (out-interface) a drhuha bude dst-nat, ktora bude trafik prichadzajuci na wan rozhranie a dany port (in-interface a dst-port) preposielat na lokalnu ip servera (to-address, to-port)...
IP zaznamenána

Reklama

  • * * * * *

Miky

Re:Mikrotik SSH forwarding
« Odpověď #20 kdy: 14. 04. 2018, 00:30:04 »
Ve vsech pripadech presmerovani jsi nedefinoval in-interface ale u SSH jsi tak ucinil.
Je to hodne zvlastni konfigurace delat NAT do WAN a zaroven napevno nastavit maskovani vnitrnich IP bez ohledu na interface.
Nemam si to ted na cem vyzkouset ale fakt me zajima jak se pri takove konfiguraci chova vnitrni logika routeru.
Standartni to urcite neni.
.......

 9    ;;; NAS FTP
      chain=dstnat action=dst-nat to-addresses=192.168.88.130 to-ports=21 protocol=tcp dst-address=83.208.XXX.XXX dst-port=21 log=no log-prefix=""

10    ;;; Server SSH
      chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=tcp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

11    chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=udp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

.....
IP zaznamenána

naseptavac

Re:Mikrotik SSH forwarding
« Odpověď #21 kdy: 14. 04. 2018, 01:09:59 »
Citace: Miky  14. 04. 2018, 00:30:04
Ve vsech pripadech presmerovani jsi nedefinoval in-interface ale u SSH jsi tak ucinil.
Je to hodne zvlastni konfigurace delat NAT do WAN a zaroven napevno nastavit maskovani vnitrnich IP bez ohledu na interface.
Nemam si to ted na cem vyzkouset ale fakt me zajima jak se pri takove konfiguraci chova vnitrni logika routeru.
Standartni to urcite neni.
.......

 9    ;;; NAS FTP
      chain=dstnat action=dst-nat to-addresses=192.168.88.130 to-ports=21 protocol=tcp dst-address=83.208.XXX.XXX dst-port=21 log=no log-prefix=""

10    ;;; Server SSH
      chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=tcp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

11    chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=udp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

.....

Jak by se to chovalo? Bezi tam linux s iptables, tak se to chova jako linux s iptables.
Co by te konkretne zajimalo?
IP zaznamenána

Miky

Re:Mikrotik SSH forwarding
« Odpověď #22 kdy: 14. 04. 2018, 09:30:27 »
Citace: naseptavac  14. 04. 2018, 01:09:59
Citace: Miky  14. 04. 2018, 00:30:04
Ve vsech pripadech presmerovani jsi nedefinoval in-interface ale u SSH jsi tak ucinil.
Je to hodne zvlastni konfigurace delat NAT do WAN a zaroven napevno nastavit maskovani vnitrnich IP bez ohledu na interface.
Nemam si to ted na cem vyzkouset ale fakt me zajima jak se pri takove konfiguraci chova vnitrni logika routeru.
Standartni to urcite neni.
.......

 9    ;;; NAS FTP
      chain=dstnat action=dst-nat to-addresses=192.168.88.130 to-ports=21 protocol=tcp dst-address=83.208.XXX.XXX dst-port=21 log=no log-prefix=""

10    ;;; Server SSH
      chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=tcp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

11    chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=udp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

.....

Jak by se to chovalo? Bezi tam linux s iptables, tak se to chova jako linux s iptables.
Co by te konkretne zajimalo?
Momentalne uz nic :-)

Zajimalo me co bude napsano v logu a jak se to bude chovat.
Uz jsem mel moznost si to vyzkouset u sebe a kouknout se.
"
srcnat: in:(unknown 0)...
dstnat:...out:(unknown 0)
"
unknown 0 je dle informaci z mikrotik fora vyraz pro loopback.
IP zaznamenána

naseptavac

Re:Mikrotik SSH forwarding
« Odpověď #23 kdy: 14. 04. 2018, 14:46:10 »
Citace: Miky  14. 04. 2018, 09:30:27
Momentalne uz nic :-)

Zajimalo me co bude napsano v logu a jak se to bude chovat.
Uz jsem mel moznost si to vyzkouset u sebe a kouknout se.
"
srcnat: in:(unknown 0)...
dstnat:...out:(unknown 0)
"
unknown 0 je dle informaci z mikrotik fora vyraz pro loopback.

To pochybuji (ze unknown je loopback). To by to ta krabicka pekne prasila. Kdyz neni urcen interface, tak se pravidlo uplatni (pokud vse ostatni sedi), at uz provoz jde pres jakykoli interface.
IP zaznamenána

SB

Re:Mikrotik SSH forwarding
« Odpověď #24 kdy: 16. 04. 2018, 08:36:47 »
Citace: samalama  13. 04. 2018, 23:22:01
...treba ti 2 maskarady: jednu src-nat, ktora bude skryvat lokalny trafik zo siete 192.168.88.0/24 (src-address) odchadzajuci cez wan rozhranie (out-interface) a drhuha bude dst-nat, ktora bude trafik prichadzajuci na wan rozhranie a dany port (in-interface a dst-port) preposielat na lokalnu ip servera (to-address, to-port)...

Masquerade je jen to první, to druhé je NA(P)T.
IP zaznamenána
Stran: 1 [2]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Mikrotik SSH forwarding