Jump to content
  • 0

Проблем с пренасочване на порт


iliqnmihailov

Въпрос

Здравейте.

Имам следния проблем, IPS-то ми е VIVACOM и съответно те си имат ADSL рутер на който казаха че са  ми пренасочили всички портове към IP-то на микротика ми който е след ADSL-а. Пренасочвам даден порт от микротика към IP от вътрешната ми мрежа но не се получава, все дава че е затворен. Има ли някаква особеност при пренасочването на портове когато микротика е втори рутер.

Благодаря!!!

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 1
  • Администратор
Преди 23 часа, iliqnmihailov написа:

У-вата са с не по стара от 2 месеца версия понеже ги ъпдейтвам периодично, точно коя е в момента не мога да кажа. 

Говорено е доста по-подобни проблеми и всеки път е едно и също с малки изключения. А именно говорим за свързани към публичното пространство не напълно защитени рутери или с определени пропуски.

Преди да подкачим рутера в публичното пространство трябва да го защитим с тези задължителни настройки ! От там вече всички сървиси се спират, а тези които се ползват се сменят обичайните портове , като за тях се ползват акцес листи и правила за брутфорс на същите. Добавят се правила и за портсканиране , като всички блек листи се дропят през RAW секцията.

Надявам се да имаш бекъпи на засегнатите устройства. Ъпдейт на РОС и фърм, ползване дори на юзър и парола с букви на кирилица, подсигуряване на рутера с горните правила и не би трябвало от тук на сетне да имаш проблем!

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Дай резултата от 

/ip firewall export

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Пробва ли без мт да направиш постановката ако се съмняваш в конфигурацията. Това, че са ти казали нищо не значи. Имаше начин през web в тяхната система да си пренасочиш порт сам.

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related"
    connection-state=established,related
add action=fasttrack-connection chain=forward comment="defconf: fasttrack"
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,relate
    connection-state=established,related
add action=drop chain=forward in-interface=bridge_IN out-interface=bridge_O
add action=drop chain=forward in-interface=bridge_OUT out-interface=bridge_
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
add action=dst-nat chain=dstnat dst-port=8000 in-interface=WAN log=yes \
    protocol=tcp to-addresses=168.168.0.64 to-ports=8000
add action=dst-nat chain=dstnat dst-port=8001 in-interface=WAN log=yes \
    protocol=tcp to-addresses=168.168.0.64 to-ports=8001


 

В firewall-а има забрана само за между двата бриджа но пробвах със спрени правила за забрани и пак същия резултат.

Това изписва в логовете когато се помъча да пусна телнет през външното IP.

firewall,info dstnat: in:WAN out:(unknown 0), src-mac ec:cb:30:47:66:6a,
proto TCP (SYN), 113.96.223.207:57778->192.168.1.11:8000, len 40

192.168.1.11 е IP-то което ми дава ADSL-а на микротика и към което са пренасочени всички портове според VIVACOM.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Не е спазено правило за висшестощо правило

 

какво се очаква от тези правила
 

/ip firewall filter
add action=drop chain=forward in-interface=bridge_IN out-interface=bridge_O
add action=drop chain=forward in-interface=bridge_OUT out-interface=bridge_

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Очаква се да не позволява достъп между два бриджа, което и правят успешно, но не там е проблемът ми.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)
преди 26 минути, 111111 написа:

Не е спазено правило за висшестощо правило

Мисля , че не е това проблема, те са и различни вериги ! Проблема мисля е в сорс ната защото не е определен интерфейс за изход на който да вземе адреса и не е нужно маскиране щом имаме статичен адрес, за това сложи следният сорс нат , другият го махни:

/ip fi nat add action=src-nat chain=srcnat out-interface=wan src-address=192.168.0.0/24 to-addresses=192.168.1.11

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0
преди 40 минути, JohnTRIVOLTA написа:

Мисля , че не е това проблема, те са и различни вериги ! Проблема мисля е в сорс ната защото не е определен интерфейс за изход на който да вземе адреса и не е нужно маскиране щом имаме статичен адрес, за това сложи следният сорс нат , другият го махни:

/ip fi nat add chain=srcnat out-interface=wan src-address=192.168.0.0/24 to-addresses=192.168.1.11

И така не се получава нищо.

Мисля че има нещо общо с ADSL рутера, защото имам още 20 у-ва на различни места и различни доставчици, които си работят и си прехвърлят портовете без проблем с тези правила.

Редактирано от iliqnmihailov
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Влез на сапунерката и си я настрой.

Tрябва да е активен DMZ.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
преди 48 минути, 111111 написа:

Влез на сапунерката и си я настрой.

Tрябва да е активен DMZ.

Нямам потребител и парола за нея. За по старите ги зная но тази е някаква по нова и не мога да вляза. През my.contact.bg също е невъзможно да намеря данни.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

има ги всичките 
задължително вадиш кабела към нета

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Здравейте.

Мисля че разбрах проблема, а той е че е плъзнал някакъв вирус hijame по у-вата в които съм влизал последните 2-3 седмици.

До колкото четох влиза през порта на winbox-а и сменя портове стартира процеси който спирам винаги но той си прави каквото си поиска.

Днес го разбрак като влязох в моето основно у-во и видях правила във firewall-а който не бях виждал до сега.

Утре ще ресетвам у-вото и се надявам да си изчисти и тая гад.

 

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 9 минути, iliqnmihailov написа:

Здравейте.

Мисля че разбрах проблема, а той е че е плъзнал някакъв вирус hijame по у-вата в които съм влизал последните 2-3 седмици.

До колкото четох влиза през порта на winbox-а и сменя портове стартира процеси който спирам винаги но той си прави каквото си поиска.

Днес го разбрак като влязох в моето основно у-во и видях правила във firewall-а който не бях виждал до сега.

Утре ще ресетвам у-вото и се надявам да си изчисти и тая гад.

 

Сподели засегнатите устройства с коя версия на РОС са? До колкото знам, това се е случвало когато се ползва стари версии на WinBOX съответно и стари версии на РОС !

Адрес на коментара
Сподели в други сайтове

  • 0
преди 1 минута, JohnTRIVOLTA написа:

Сподели засегнатите устройства с коя версия на РОС са? До колкото знам, това се е случвало когато се ползва стари версии на WinBOX съответно и стари версии на РОС !

У-вата са с не по стара от 2 месеца версия понеже ги ъпдейтвам периодично, точно коя е в момента не мога да кажа. 

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)

Към горното мога да добавя следното:

1.Ако вече ви е хакнат борда лично аз го префлашвам с нетинстал, независимо , че рисет и ъпдейт би бил достатъчен!

2.Да не се ползват http и telnet !!!

3.От публичното пространство да се ползва Winbox в secure mode и със сменен порт от този по подразбиране, акцес листа е добре да има , сменен порт по подразбиране и брут форс правила за порта.

4.От публичното пространство да се ползва ssh със сетнат /ip ssh set strong-crypto=yes , акцес листа е добре да има , сменен порт по подразбиране и брут форс правила за порта.

5. Ако има възможност си настройте L2TP IPSEC към мениджмънт LAN за достъп до устройствата и ползвайте през нея по-горе 3 и 4 начините за свързване !

 

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.