Mikrotik SSH forwarding

[mac0112]

Je to jednoduché jako facka, jestli ti nefunguje toto:
add action=dst-nat chain=dstnat comment=\
    "presmerovani SSH" disabled=yes \
    in-interface=pppoe-out1 port=2222 protocol=tcp to-addresses=192.168.3.26 \
    to-ports=22

tak je chyba někde jinde !

[Reklama]

[Jirka_V]

Tak problem vyresen vypadato ze jsem mel spatne nastaveny masquerade

mel jsem tam

Kód: [Vybrat]

0    ;;; Masquerade for PPPoE
      chain=srcnat action=masquerade out-interface=O2_VDSL log=yes
     log-prefix="masquerade"

 1    chain=srcnat action=masquerade dst-address=192.168.88.125
       log=no log-prefix=""

 2    chain=srcnat action=masquerade dst-address=192.168.88.130
      log=no log-prefix=""

ale melo tam byt

Kód: [Vybrat]

0    ;;; Masquerade for PPPoE
      chain=srcnat action=masquerade out-interface=O2_VDSL log=yes
     log-prefix="masquerade"

 1    chain=srcnat action=masquerade dst-address=192.168.88.125
      out-interface=O2_VDSL log=no log-prefix=""

 2    chain=srcnat action=masquerade dst-address=192.168.88.130
      out-interface=O2_VDSL log=no log-prefix=""

Mikrotik super zarizeni ale kdyz se clovek todle vsechno teprve uci je to pekelnej mucici nastroj   

[Miky]

Ahoj,
rychle jsem to prosel a mrknu na to detailneji pozdeji ale jedna vec me prastila do oci.
Pokud na eth1 je jen modem v rezimu bridge a wan je PPOE tedy interface O2_VDSL

pak si oprav toto pravidlo

4    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix=""


4    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=O2_VDSL log=no log-prefix=""

[Miky]

Jeste k FW
chain=input action=drop in-interface=O2_VDSL log=no log-prefix=""

Tohle pravidlo bude asi taky trochu zbytečné.

Pak bych ještě zkontroloval, jestli ses náhodou nedostal do toho address listu, který máš pro attackery

2    chain=srcnat action=masquerade dst-address=192.168.88.130 log=no log-prefix=""

Mam v siti 2 servery bez tech masquerade zaznamu nebylo mozne nane forwardovat zadne porty. 192.168.88.125 je ovsem jedinej na ktery se potrebuju dostat z venku prez SSH, 192.168.88.130 nanem jede jenom web a ftp a to funguje OK.

Proc by to bez tech 2 pravidel masquerade nefungovalo ?

[samalama]

Tak problem vyresen vypadato ze jsem mel spatne nastaveny masquerade

mel jsem tam

Kód: [Vybrat]

0    ;;; Masquerade for PPPoE
      chain=srcnat action=masquerade out-interface=O2_VDSL log=yes
     log-prefix="masquerade"

 1    chain=srcnat action=masquerade dst-address=192.168.88.125
       log=no log-prefix=""

 2    chain=srcnat action=masquerade dst-address=192.168.88.130
      log=no log-prefix=""

ale melo tam byt

Kód: [Vybrat]

0    ;;; Masquerade for PPPoE
      chain=srcnat action=masquerade out-interface=O2_VDSL log=yes
     log-prefix="masquerade"

 1    chain=srcnat action=masquerade dst-address=192.168.88.125
      out-interface=O2_VDSL log=no log-prefix=""

 2    chain=srcnat action=masquerade dst-address=192.168.88.130
      out-interface=O2_VDSL log=no log-prefix=""

Mikrotik super zarizeni ale kdyz se clovek todle vsechno teprve uci je to pekelnej mucici nastroj   

no neviem, ale mne tie pravidla nedavaju smyzel: maskujes zdrojovu adresu (src-nat), ak je cielova adresa lokalna (dst-address), ale odchadza cez wan interface (out-interface?

treba ti 2 maskarady: jednu src-nat, ktora bude skryvat lokalny trafik zo siete 192.168.88.0/24 (src-address) odchadzajuci cez wan rozhranie (out-interface) a drhuha bude dst-nat, ktora bude trafik prichadzajuci na wan rozhranie a dany port (in-interface a dst-port) preposielat na lokalnu ip servera (to-address, to-port)...

[Reklama]

[Miky]

Ve vsech pripadech presmerovani jsi nedefinoval in-interface ale u SSH jsi tak ucinil.
Je to hodne zvlastni konfigurace delat NAT do WAN a zaroven napevno nastavit maskovani vnitrnich IP bez ohledu na interface.
Nemam si to ted na cem vyzkouset ale fakt me zajima jak se pri takove konfiguraci chova vnitrni logika routeru.
Standartni to urcite neni.
.......

 9    ;;; NAS FTP
      chain=dstnat action=dst-nat to-addresses=192.168.88.130 to-ports=21 protocol=tcp dst-address=83.208.XXX.XXX dst-port=21 log=no log-prefix=""

10    ;;; Server SSH
      chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=tcp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

11    chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=udp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

.....

[naseptavac]

Ve vsech pripadech presmerovani jsi nedefinoval in-interface ale u SSH jsi tak ucinil.
Je to hodne zvlastni konfigurace delat NAT do WAN a zaroven napevno nastavit maskovani vnitrnich IP bez ohledu na interface.
Nemam si to ted na cem vyzkouset ale fakt me zajima jak se pri takove konfiguraci chova vnitrni logika routeru.
Standartni to urcite neni.
.......

 9    ;;; NAS FTP
      chain=dstnat action=dst-nat to-addresses=192.168.88.130 to-ports=21 protocol=tcp dst-address=83.208.XXX.XXX dst-port=21 log=no log-prefix=""

10    ;;; Server SSH
      chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=tcp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

11    chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=udp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

.....

Jak by se to chovalo? Bezi tam linux s iptables, tak se to chova jako linux s iptables.
Co by te konkretne zajimalo?

[Miky]

Ve vsech pripadech presmerovani jsi nedefinoval in-interface ale u SSH jsi tak ucinil.
Je to hodne zvlastni konfigurace delat NAT do WAN a zaroven napevno nastavit maskovani vnitrnich IP bez ohledu na interface.
Nemam si to ted na cem vyzkouset ale fakt me zajima jak se pri takove konfiguraci chova vnitrni logika routeru.
Standartni to urcite neni.
.......

 9    ;;; NAS FTP
      chain=dstnat action=dst-nat to-addresses=192.168.88.130 to-ports=21 protocol=tcp dst-address=83.208.XXX.XXX dst-port=21 log=no log-prefix=""

10    ;;; Server SSH
      chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=tcp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

11    chain=dstnat action=dst-nat to-addresses=192.168.88.125 to-ports=22 protocol=udp dst-address=83.208.XXX.XXX in-interface=O2_VDSL dst-port=2222 log=yes log-prefix="Putty"

.....

Jak by se to chovalo? Bezi tam linux s iptables, tak se to chova jako linux s iptables.
Co by te konkretne zajimalo?

Momentalne uz nic :-)

Zajimalo me co bude napsano v logu a jak se to bude chovat.
Uz jsem mel moznost si to vyzkouset u sebe a kouknout se.
"
srcnat: in:(unknown 0)...
dstnat:...out:(unknown 0)
"
unknown 0 je dle informaci z mikrotik fora vyraz pro loopback.

[naseptavac]

Momentalne uz nic :-)

Zajimalo me co bude napsano v logu a jak se to bude chovat.
Uz jsem mel moznost si to vyzkouset u sebe a kouknout se.
"
srcnat: in:(unknown 0)...
dstnat:...out:(unknown 0)
"
unknown 0 je dle informaci z mikrotik fora vyraz pro loopback.

To pochybuji (ze unknown je loopback). To by to ta krabicka pekne prasila. Kdyz neni urcen interface, tak se pravidlo uplatni (pokud vse ostatni sedi), at uz provoz jde pres jakykoli interface.

[SB]

...treba ti 2 maskarady: jednu src-nat, ktora bude skryvat lokalny trafik zo siete 192.168.88.0/24 (src-address) odchadzajuci cez wan rozhranie (out-interface) a drhuha bude dst-nat, ktora bude trafik prichadzajuci na wan rozhranie a dany port (in-interface a dst-port) preposielat na lokalnu ip servera (to-address, to-port)...

Masquerade je jen to první, to druhé je NA(P)T.