Jump to content
  • 0

Филтър на порт през NAT?


BO

Въпрос

Колеги, дайте как да стане най-лесно филтъра на портове през рутера.

Та за какво става въпрос.

Налага се да имам Source NAT и Destination NAT от външен директно на вътрешен адрес.

По точно имам ако някой търси сорс адрес да речем 87.34.23.12 имам директно netmap към вътрешен адрес 192.168.0.1. По този начин пращам абсолютно всички портове на вътрешния адрес. Имам и обратното правило. Ако 192.168.0.1 търси образно казано "интернет" той се сорс натва с адрес 87.34.23.12.

До тук добре, но!

Поради някой причини трябва да направя филтър върху рутера, който ако някой търси УЕБ към сървъра да го блокна още на рутера.

Примерно ако някой иска достъп до 87.34.23.12 към порт 80 да не го netmap към вътрешния 192.168.0.1 към 80 порт, а още рутера да го спира и да не продължава netmapa!

Пробвах с чист firewall rule от рода:

ако source 87.34.23.12 in interface WAN port 80 acction-drop

Ама не работи, тоест първо изпълнява като чели netmap-a и след това отива на filter rules и въобще не обръща внимание на този рул.

Пробвах и обратното от рода ако:

Source address 192.168.0.1 src. port 80 out interface WAN acction-drop - ама и през него не минава, за да го дропне.

Както знаете това не са командите които се пишат ама общо за информация на рула ви го пиша.

Както пробвах за втория рул и на Chain Output и на Forward, съответно за първия рул Chain Input или пак forward, ама не е от това.

Та има ли начин само някой порт, който искам да го филтрирам преди NETMAP-a към вътрешното IP?

Адрес на коментара
Сподели в други сайтове

6 отговори на този въпрос

Recommended Posts

  • 0

chain=forward dst-port=80 action=drop за отвън навътре и

chain=forward src-port=80 action=drop за отговор на конекция дошла отвън

Или даваш достъп до рутера а аз банковата си сметка. :)

-

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

ползвай web конфига и цъкни защита на клиента

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

chain=forward dst-port=80 action=drop за отвън навътре и

chain=forward src-port=80 action=drop за отговор на конекция дошла отвън

Или даваш достъп до рутера а аз банковата си сметка. :)

Точно това пробвах и написах, че не работи с netmap.

Само с добавката и за интерфейс (входящ/изходящ), че иначе няма да е интересно, да спирам услугата за вътрешната мрежа :)

Нещо от рода:

add chain=forward in-interface=WAN dst-address=87.34.23.12  dst-port=80 action=drop

ползвай web конфига и цъкни защита на клиента

Това не го знам/разбирам, къде се "цъка" :)

Адрес на коментара
Сподели в други сайтове

  • 0

Тц с входящ+изходящ не може. АйПи Флоу диаграм скив.

Не разбирам от това кратко изречение какво да видя.

Разбирам да видя Traffic Flow. Имам си активиран такъв и имам мониторинг, но това не виждам общо с въпроса който питах... ::)

Адрес на коментара
Сподели в други сайтове

  • 0

Реших си проблема.

Трябва въпреки, че давам in interface трябва да задам локалния ИП адрес на машината.

Аз гледам на торч, върху ВАН интерфейса и искам да го блокна още на вход, но явно правилата важат след като пакета се препрати вече на вътрешния ИП адрес!

Благодаря ви за оказаната помощ.

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.