PC Ekspert Forum - Mikrotik port forwarding problem

PC Ekspert Forum (https://forum.pcekspert.com/index.php)

- Mreže (https://forum.pcekspert.com/forumdisplay.php?f=16)

- - Mikrotik port forwarding problem (https://forum.pcekspert.com/showthread.php?t=276766)

Mikrotik port forwarding problem

Pozdrav

Imam problem sa port forwardingom na Mikrotiku za portove 22 i 80.

Problem port 22
Kada u IP/Fireawall/NAT forwardam port 22 iz vana uredno mogu preko dyndns hosta pristupiti SSH na desktop, ali ne mogu preko LAN IP-a na router.

Problem port 80
U IP/Firewall/NAT forwardam port 80, ali mi onda prilikom spajanja na HotSpot nakon prijave prikazuje web od desktopa, umjesto da mi ispiše da sam uspješno spojen (sa mikrotika)

Mogu li to kako drugačije riješiti osim promjene portova? U prilogu su nacrt mreže, screenshot firewalla i NAT-a.

Čini mi se da je najlakše da promijeniš port i staviš neki auto redirect na cca 8080 :fiju:

Nadao sam se da mogu to izbjeći :fiju:

Možda i ima drugo rješenje, meni ne pada na pamet,
možda se još netko priključi sa idejom / rješenjem.

Ako ništa drugo, onda budem tako napravio. Hvala na prijedlogu :chears:

port 22 koliko vidim blokao si za brute force.. od svuda
normalno da nit z lana nebres u njega
disejblaj to pa probaj

isto tako portforvard... stavi interface out interface koji.. recimo taj NET pppoe

isto pokušaj za hotspot i port 80.. pa onda nebude od bilo kuda port 80 išao na tamo kamo si ti to prosljedio

i koristi winbox
jednostavnije ti bude

Nije ga full blokirao, vec koristi gotovi set rule-ova ( sto se obicno ne radi sa mtikom, ako ne znas o cem se radi :D ), koji postepeno siba source po ip listama, dok se svakoj slj listi povecava timeout, sto vodi do konacnog blocka ako source stigne na ssh blocklist lvl3.

Sto znaci da ce mu 22 biti slobodan, ukoliko nije par puta napravio novu konekciju u roku minute ( ono sta ovaj set ruleova uzima kao kriterij za blacklistanje source-a je ucestalost spajanja na port 22 u nekom kracem vremenu )

Ove probleme koje navodis imas zbog nedefiniranih in / out interfaceova, te router po defaultu uzima sve moguce konekcije koje prolaze ili dolaze s raznih porteva.

Za forward sa WAN-a u LAN 80 ( Pod predpostavkom da ti je WAN port ether1, a IP na koji zelis ostvariti forward 10.0.0.x, promjeni to na odgovarajuce postavke za svoju mrezu )

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=10.0.0.x to-ports=80

takodjer za bruteforce filtere, mozes koristiti nesto poput: "src-address-list=!white_list" , gdje ces u white_list listama imat predefinirano koje hostove zelis imat iskljucene iz filteringa, ili jednostavno ubacis 2 rule-a povrh svih, input / forward, action: accept, source address list: white_list ( sto ce automatski pustat sve whitelisteane adrese ( u tvom slucaju 10.0.0.0/24 ) i zaobilaziti ih u slj. rulovima ispod njih )

@Perestrojka To je bio problem. Zaboravio sam definirati in-interface. Podesio to i sada radi sve :) .... Hvala

Ako nekome zatreba evo (XX zamijenite sa IP-em na kojem se vrti servis koji forwardate)

Code:

18    ;;; SSH Port Forward

      chain=dstnat action=dst-nat to-addresses=XX.XX.XX.XX to-ports=22 

      protocol=tcp in-interface=ether1 dst-port=22 log=no log-prefix="" 



19    ;;; HTTP Port forward

      chain=dstnat action=dst-nat to-addresses=XX.XX.XX.XX to-ports=80 

      protocol=tcp in-interface=ether1 dst-port=80 log=no log-prefix=""