|
|||||||||||
23.02.2016., 20:29
|
#1 |
|
Registered User
Datum registracije: Mar 2005
Lokacija: Pula
Postovi: 32
|
Mikrotik port forwarding problem
Pozdrav Imam problem sa port forwardingom na Mikrotiku za portove 22 i 80. Problem port 22 Kada u IP/Fireawall/NAT forwardam port 22 iz vana uredno mogu preko dyndns hosta pristupiti SSH na desktop, ali ne mogu preko LAN IP-a na router. Problem port 80 U IP/Firewall/NAT forwardam port 80, ali mi onda prilikom spajanja na HotSpot nakon prijave prikazuje web od desktopa, umjesto da mi ispiše da sam uspješno spojen (sa mikrotika) Mogu li to kako drugačije riješiti osim promjene portova? U prilogu su nacrt mreže, screenshot firewalla i NAT-a. Zadnje izmijenjeno od: robi77. 23.02.2016. u 20:42. |
|
|
|
23.02.2016., 21:03
|
#2 |
|
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 23,489
|
Čini mi se da je najlakše da promijeniš port i staviš neki auto redirect na cca 8080  |
|
|
|
|
|
|
|
Oglas
|
|
|
23.02.2016., 21:16
|
#4 |
|
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 23,489
|
Možda i ima drugo rješenje, meni ne pada na pamet, možda se još netko priključi sa idejom / rješenjem. |
|
|
|
|
23.02.2016., 22:35
|
#6 |
|
Premium
Datum registracije: Nov 2006
Lokacija: HR
Postovi: 4,679
|
port 22 koliko vidim blokao si za brute force.. od svuda normalno da nit z lana nebres u njega disejblaj to pa probaj isto tako portforvard... stavi interface out interface koji.. recimo taj NET pppoe isto pokušaj za hotspot i port 80.. pa onda nebude od bilo kuda port 80 išao na tamo kamo si ti to prosljedio i koristi winbox jednostavnije ti bude |
|
|
|
23.02.2016., 22:49
|
#7 |
|
CNE @ Verne global DC
Datum registracije: Feb 2015
Lokacija: Reykjavik, Iceland
Postovi: 493
|
Nije ga full blokirao, vec koristi gotovi set rule-ova ( sto se obicno ne radi sa mtikom, ako ne znas o cem se radi  ), koji postepeno siba source po ip listama, dok se svakoj slj listi povecava timeout, sto vodi do konacnog blocka ako source stigne na ssh blocklist lvl3.Sto znaci da ce mu 22 biti slobodan, ukoliko nije par puta napravio novu konekciju u roku minute ( ono sta ovaj set ruleova uzima kao kriterij za blacklistanje source-a je ucestalost spajanja na port 22 u nekom kracem vremenu ) Ove probleme koje navodis imas zbog nedefiniranih in / out interfaceova, te router po defaultu uzima sve moguce konekcije koje prolaze ili dolaze s raznih porteva. Za forward sa WAN-a u LAN 80 ( Pod predpostavkom da ti je WAN port ether1, a IP na koji zelis ostvariti forward 10.0.0.x, promjeni to na odgovarajuce postavke za svoju mrezu ) /ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=10.0.0.x to-ports=80 takodjer za bruteforce filtere, mozes koristiti nesto poput: "src-address-list=!white_list" , gdje ces u white_list listama imat predefinirano koje hostove zelis imat iskljucene iz filteringa, ili jednostavno ubacis 2 rule-a povrh svih, input / forward, action: accept, source address list: white_list ( sto ce automatski pustat sve whitelisteane adrese ( u tvom slucaju 10.0.0.0/24 ) i zaobilaziti ih u slj. rulovima ispod njih ) Zadnje izmijenjeno od: Perestrojka. 23.02.2016. u 22:55. |
|
|
|
|
23.02.2016., 22:59
|
#8 |
|
Registered User
Datum registracije: Mar 2005
Lokacija: Pula
Postovi: 32
|
@Perestrojka To je bio problem. Zaboravio sam definirati in-interface. Podesio to i sada radi sve  .... HvalaAko nekome zatreba evo (XX zamijenite sa IP-em na kojem se vrti servis koji forwardate) Code:
18 ;;; SSH Port Forward
chain=dstnat action=dst-nat to-addresses=XX.XX.XX.XX to-ports=22
protocol=tcp in-interface=ether1 dst-port=22 log=no log-prefix=""
19 ;;; HTTP Port forward
chain=dstnat action=dst-nat to-addresses=XX.XX.XX.XX to-ports=80
protocol=tcp in-interface=ether1 dst-port=80 log=no log-prefix=""
Zadnje izmijenjeno od: robi77. 23.02.2016. u 23:38. |
|
|
|
|
|
|
|
Oglas
|
|
 |
|
|
