Проблем при рутирането на локалния NAT

[billy]

Здравейте,

Имам проблем при рутирането на локалния NAT. Доколкото разбирам masquerate функцията може би.

Та идеята е следната: имам външен IP адрес, който например е 1.1.1.1 който е външен за МикроТик-а.

Вътрешната ми мрежа е 192.168.100.XXX. Уеб Сървъра е на IP адрес 192.168.100.101. 

Успешно отварям портове от вън (на публичния IP адрес) към вътрешния (192.168.100.101) където си хоствам сайт.com.

Няма проблем със зареждането от Вън, но има проблем със зареждането им от локалната мрежа.

Примерно аз съм се закачил за МикроТик-а с IP 192.168.100.252 и като заредя сайт.com, който е насочен към външния 1.1.1.1 ми дава connection refused.

Разгледах нещо за HairPin, но не успях да се справя. Политиките са следните:

[root@mikrotik] > /ip firewall nat print            
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; :: HAIRPIN NAT
      chain=srcnat action=masquerade src-address=192.168.100.0/24 dst-address=192.168.100.0/24 src-address-type="" log=no log-prefix="" 

 1    ;;; NAT
      chain=srcnat action=masquerade src-address=192.168.100.0/24 out-interface=WAN log=no log-prefix="" 

 2    ;;; Webserver TCP
      chain=dstnat action=dst-nat to-addresses=192.168.100.101 to-ports=20-2096 protocol=tcp in-interface=WAN dst-port=20-2096 log=no log-prefix="" 

 3    ;;; Webserver UDP 20-123
      chain=dstnat action=dst-nat to-addresses=192.168.100.101 to-ports=20-123 protocol=udp in-interface=WAN dst-port=20-123 log=no log-prefix="" 

Като 2 и 3 са портовете, които препращам по TCP и UDP.
Въпроса е в правилата 0 и 1, които трябва да ми направят локалния NAT Loopback, само че не сработват нещо.

Може ли малко помощ ?  

[111111]

Поредния бил на TP-Link
Какви са тези обхвати от портове дет си стъкмил

влизаш в IP > DNS > STATIC добавяш си сайта и ип адреса (локалния) и готово 

а и правилата от harpin-nat-a ти ги няма че да работи

[billy]

преди 24 минути, 111111 написа:

Поредния бил на TP-Link
Какви са тези обхвати от портове дет си стъкмил

влизаш в IP > DNS > STATIC добавяш си сайта и ип адреса (локалния) и готово 

а и правилата от harpin-nat-a ти ги няма че да работи

Извинявам се, нов съм във форума и забравих да се представя: Аз съм поредния бил на TP-Link.
Тия обхвати от портове, които съм ги стъкмил са ми необходими.
Начина който си описал работи, но не ми върши работа, понеже имам инсталирани SSL сертификати на уеб сървъра, и когато достъпвам сайтовете през локалния им IP адрес - сертификатите се чупят. Идеята да е да мога да от вътрешния локален IP адрес да заявя и заредя сайтовете от публичния.

[111111]

Ами сложи си правилата за харпин нат 

https://wiki.mikrotik.com/wiki/Hairpin_NAT

ограничи се само до нужните портове 
 

Какво общо имат сертификатите след като домейна е същия?

some.site дали ще е на адрес 123.45.67.89 или 192.168.1.2 няма разлика.

[billy]

Не става по този начин. Пробвах го.

[111111]

Just now, billy написа:

Не става по този начин. Пробвах го.

Значи имаш DNS различен от този на рутера

[billy]

 

Преди 8 часа, 111111 написа:

Ами сложи си правилата за харпин нат 

https://wiki.mikrotik.com/wiki/Hairpin_NAT

Ето така стана:;

[root@mikrotik] > /ip firewall nat export
# aug/28/2018 22:55:44 by RouterOS 6.42.7
# software id = VKVJ-PNFF
#
# model = RouterBOARD 941-2nD
# serial number = 661606799860
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT out-interface=WAN to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="HAIRPIN NAT" dst-address=!192.168.100.1 dst-address-type="" src-address=192.168.100.0/24
add action=dst-nat chain=dstnat comment="Webserver TCP" dst-address=!192.168.100.1 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.100.101 to-ports=80

Например за порт 80. Източник https://forum.mikrotik.com/viewtopic.php?t=107851 
Някъде другаде прочетох, че статията от уики е стара и не работи при новите версии на RouterOS и затова е трябвало да се дефинира, кое IP не!е дестинация dst-address=!192.168.100.1, но ме съмнява. Както и да е. Работещото решение за мен е горе описаното.

Преди 8 часа, 111111 написа:

ограничи се само до нужните портове 

Ограничил съм се. Ето конфигурацията от firewall-а на сървъра зад Микротика:

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,113,443,587,993,995,1022,2030,2031,2082,2083,2086,2087,2095,2096"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,1022,2030,2031,2082,2083,2086,2087,2095,2096"

# Allow incoming UDP ports
UDP_IN = "20,21,53"

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list 
UDP_OUT = "20,21,53,113,123"

Ако можех така да ги опиша в Микротика - повярвай ми, че щях да го направя.

Преди 8 часа, 111111 написа:

some.site дали ще е на адрес 123.45.67.89 или 192.168.1.2 няма разлика.

Да така е. Аз се обърках нещо тука.

Редактирано 29 Август, 2018 от billy

[111111]

Преди 8 часа, billy написа:

Ограничил съм се. Ето конфигурацията от firewall-а на сървъра зад Микротика:

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,113,443,587,993,995,1022,2030,2031,2082,2083,2086,2087,2095,2096"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,1022,2030,2031,2082,2083,2086,2087,2095,2096"

# Allow incoming UDP ports
UDP_IN = "20,21,53"

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list 
UDP_OUT = "20,21,53,113,123"

Ако можех така да ги опиша в Микротика - повярвай ми, че щях да го направя.

Ако по този начин си ограничил с 4 правила то това не бих казал че е сигурно.

Няма група публична и частна зона.

Мога и POC на някой от портовете ти да покажа но това е друга тема.

[billy]

Ами това са портовете, които са добавени във firewall-а на сървъра и се мониторират. Просто са посочени кои навън и кои навътре. Ако можеш ми покажи каквото можеш да покажеш. Колко не е сигурно и докъде ще стигнеш с твоите умения  макар, че това си е офтопик. Въпроса ми е дали мога да ги задам с 2 правила в Микротика за TCP и UDP.

[111111]

Преди 19 часа, billy написа:

Ами това са портовете, които са добавени във firewall-а на сървъра и се мониторират. Просто са посочени кои навън и кои навътре. Ако можеш ми покажи каквото можеш да покажеш. Колко не е сигурно и докъде ще стигнеш с твоите умения  макар, че това си е офтопик. Въпроса ми е дали мога да ги задам с 2 правила в Микротика за TCP и UDP.

Каква е тая логика с 2 правила сложи на сървъра публично ип тогава,
трябват поне 8-10 правила, които са сортират трафика по вид и да го ограничават.

Не случайно хората си си посрещат трафика по порт и L7 (рутера в твоя случай), последван от NGINX и на трети хоп машината 

пс.
без проблем ти се достъпва контролния панел на "лари" и "лв" под-домейните на центовската ти машина.

[billy]

Лари е виртуалка на RedHat, може би затова ти се вижда CentOS-ко.
Но името си го има в PTR записа, а портовете са отворени за да ги ползвам (не само аз).
Не разбирам какво ми се правиш толкова на интересен.

[111111]

Явно не искаш да се научиш как се правят нещата, твоя си воля.

Сложи си публичното ип на машината и не се мъчи с рутер. Хората си правят кнок аксес или акаунтинг такъв.

 

CentOS RedHat RPM все таз дърт кърнел и кило кръпки и руут акаунт по подразбиране.