viking_oleg Опубликовано: 24 октября, 2012 Опубликовано: 24 октября, 2012 Здравствуйте помогите разобраться. есть 433АН с NAT'ом, PPPoE и dhcp вышестоящий провайдер сообщил, что адреса типа 172.16.30.0/24 (локалка за натом) и 10.10.10.0/24 (рррое) проходят мимо ната и попадают во внешнюю сеть как избавиться от этого? ip fir nat pr Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade src-address=10.10.10.0/24 out-interface=ether1 ### собственно nat для pppoe 1 chain=dstnat action=dst-nat to-addresses=172.16.20.2 to-ports=80 protocol=tcp dst-port=82 ### все остальное для некоторого оборудования внутри сети 2 chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp dst-port=83 3 chain=dstnat action=dst-nat to-addresses=172.16.48.2 to-ports=80 protocol=tcp dst-port=92 4 chain=dstnat action=dst-nat to-addresses=172.16.48.3 to-ports=80 protocol=tcp dst-port=93 5 chain=dstnat action=dst-nat to-addresses=172.16.48.4 to-ports=80 protocol=tcp dst-port=94 6 chain=dstnat action=dst-nat to-addresses=172.16.48.5 to-ports=80 protocol=tcp dst-port=95 7 chain=dstnat action=dst-nat to-addresses=172.16.48.6 to-ports=80 protocol=tcp dst-port=96 8 chain=dstnat action=dst-nat to-addresses=172.16.48.7 to-ports=80 protocol=tcp dst-port=97
Ромка Опубликовано: 24 октября, 2012 Опубликовано: 24 октября, 2012 Здравствуйте помогите разобраться. есть 433АН с NAT'ом, PPPoE и dhcp вышестоящий провайдер сообщил, что адреса типа 172.16.30.0/24 (локалка за натом) и 10.10.10.0/24 (рррое) проходят мимо ната и попадают во внешнюю сеть как избавиться от этого? ip fir nat pr Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade src-address=10.10.10.0/24 out-interface=ether1 ### собственно nat для pppoe 1 chain=dstnat action=dst-nat to-addresses=172.16.20.2 to-ports=80 protocol=tcp dst-port=82 ### все остальное для некоторого оборудования внутри сети 2 chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp dst-port=83 3 chain=dstnat action=dst-nat to-addresses=172.16.48.2 to-ports=80 protocol=tcp dst-port=92 4 chain=dstnat action=dst-nat to-addresses=172.16.48.3 to-ports=80 protocol=tcp dst-port=93 5 chain=dstnat action=dst-nat to-addresses=172.16.48.4 to-ports=80 protocol=tcp dst-port=94 6 chain=dstnat action=dst-nat to-addresses=172.16.48.5 to-ports=80 protocol=tcp dst-port=95 7 chain=dstnat action=dst-nat to-addresses=172.16.48.6 to-ports=80 protocol=tcp dst-port=96 8 chain=dstnat action=dst-nat to-addresses=172.16.48.7 to-ports=80 protocol=tcp dst-port=97 Если Ваш провайдер нормальный, то он сам молча дропнет трафик с этих адресов у себя. А так, попробуйте ip firewall filter add chain=output action=drop src-address=192.168.0.0/16 out-interface=ether1 ну и остальные локальные диапазоны так же
max_m Опубликовано: 24 октября, 2012 Опубликовано: 24 октября, 2012 Стоп тут не правильно! 1. Какие ИП вам выдал пров ? 2. Если предположит что ваш пров Вам выдал ИП 172.16.20.2 to-ports=80 protocol=tcp dst-port=82 ### все остальное для некоторого оборудования внутри сети 2 chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp dst-port=83 3 chain=dstnat action=dst-nat to-addresses=172.16.48.2 to-ports=80 protocol=tcp dst-port=92 4 chain=dstnat action=dst-nat to-addresses=172.16.48.3 to-ports=80 protocol=tcp dst-port=93 5 chain=dstnat action=dst-nat to-addresses=172.16.48.4 to-ports=80 protocol=tcp dst-port=94 6 chain=dstnat action=dst-nat to-addresses=172.16.48.5 to-ports=80 protocol=tcp dst-port=95 7 chain=dstnat action=dst-nat to-addresses=172.16.48.6 to-ports=80 protocol=tcp dst-port=96 8 chain=dstnat action=dst-nat to-addresses=172.16.48.7 to-ports=80 protocol=tcp dst-port=97 То в данном случае можно предположить что у Вас на интерфейсе Ether1 прописаны данные ИП и у вас нету правила которое описывает исходящий от Вас запрос. Поэтому должно быть примерно так chain=srcnat action=src-nat to-addresses=172.16.20.2 src-address=10.10.10.0/24 out-interface=ether1 В противном случае у Вас при action=masquerade Будет Натить за выборочный адрес из перечсленного выше диапазона что не есть хорошо!!! А для того чтобы отфильтровать внутренние сети лучше написать правила типа chain=forward action=drop src-address=192.168.0.0/16 chain=forward action=drop dst-address=192.168.0.0/16 Ну как то так.
viking_oleg Опубликовано: 24 октября, 2012 Автор Опубликовано: 24 октября, 2012 пров выдал адрес 10.235.153.8/29 на ether1 на ether2 настроен dhcp 172.16.48.1/24 на ether3 настроен dhcp 172.16.20.1/24 на wlan1 настроен dhcp 172.16.30.1/24 поверх всего это есть 3 рррое-сервера 10.10.10.0/24
max_m Опубликовано: 24 октября, 2012 Опубликовано: 24 октября, 2012 А ну тогда понятно!!! Ну в вашем случае тогда не хватает правил для НАТ для подситей 172.16.48.0/24, 172.16.20.0/24, 172.16.30.0/24 Если клиент с ип к примеру необходимо выйти в инет то как он это сделает правила для этого нет поэтому вы и транслируете эти подсети дальше прову... Пропишите так chain=srcnat action=masquerade out-interface=ether1 это простой вариант... Если эти подсети не должны выходить в инет то напишите так chain=forward action=drop src-address=172.16.48.0/24 chain=forward action=drop src-address=172.16.20.0/24 chain=forward action=drop src-address=172.16.30.0/24
spaul Опубликовано: 24 октября, 2012 Опубликовано: 24 октября, 2012 Если четко понимать что делает правило, то можно понять суть проблемы. Возьмем Ваше правило chain=dstnat action=dst-nat to-addresses=172.16.20.2 to-ports=80 protocol=tcp dst-port=82 Человеческим языком расшифровуется так: Все что имеет протокол protocol=tcp и идет на порт dst-port=82 перенаправить на to-addresses=172.16.20.2 на порт to-ports=80 Из этого следует, что если из внутрееней сети идет запрос на 82й порт, то запрос перенаправляется на 172.16.20.2. но этот айпи может находится в сети провайдера. Из этого всего, я могу предположить, что со стороны провайдера вы находитесь в подсети типа 172.16.0.0/16, и потому запросы могут уходить в сеть провайдера. Выхода есть два: либо указать dst-address, либо разобраться с маршрутизацией, а именно не использовать сеть пересекающуюся с подсетью провайдера.
viking_oleg Опубликовано: 24 октября, 2012 Автор Опубликовано: 24 октября, 2012 сеть провайдера - 10.235.153.8/29 локальная сеть - 172.16.х.х (см. выше) рррое - 10.10.10.0/24 абоны только с этим адресом натятся в сеть прова 0 chain=srcnat action=masquerade src-address=10.10.10.0/24 out-interface=ether1 у кого нет соединения рррое в инете быть и не должен и его пакеты должны умереть на борде я запутался...
max_m Опубликовано: 24 октября, 2012 Опубликовано: 24 октября, 2012 chain=forward action=drop src-address=172.16.48.0/24 out-interface=ether1 chain=forward action=drop src-address=172.16.20.0/24 out-interface=ether1 chain=forward action=drop src-address=172.16.30.0/24 out-interface=ether1 сразу вопрос, а это зачем ? 2 chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp dst-port=83 3 chain=dstnat action=dst-nat to-addresses=172.16.48.2 to-ports=80 protocol=tcp dst-port=92 4 chain=dstnat action=dst-nat to-addresses=172.16.48.3 to-ports=80 protocol=tcp dst-port=93 5 chain=dstnat action=dst-nat to-addresses=172.16.48.4 to-ports=80 protocol=tcp dst-port=94 6 chain=dstnat action=dst-nat to-addresses=172.16.48.5 to-ports=80 protocol=tcp dst-port=95 7 chain=dstnat action=dst-nat to-addresses=172.16.48.6 to-ports=80 protocol=tcp dst-port=96 8 chain=dstnat action=dst-nat to-addresses=172.16.48.7 to-ports=80 protocol=tcp dst-port=97
max_m Опубликовано: 24 октября, 2012 Опубликовано: 24 октября, 2012 Если четко понимать что делает правило, то можно понять суть проблемы. Возьмем Ваше правило chain=dstnat action=dst-nat to-addresses=172.16.20.2 to-ports=80 protocol=tcp dst-port=82 Человеческим языком расшифровуется так: Все что имеет протокол protocol=tcp и идет на порт dst-port=82 перенаправить на to-addresses=172.16.20.2 на порт to-ports=80 Из этого следует, что если из внутрееней сети идет запрос на 82й порт, то запрос перенаправляется на 172.16.20.2. но этот айпи может находится в сети провайдера. Из этого всего, я могу предположить, что со стороны провайдера вы находитесь в подсети типа 172.16.0.0/16, и потому запросы могут уходить в сеть провайдера. Выхода есть два: либо указать dst-address, либо разобраться с маршрутизацией, а именно не использовать сеть пересекающуюся с подсетью провайдера. из этого можно задать вопрос от куда перенаправлять по логике со стороны провайдера тогда нужно дописать chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp in-interface=ether1 dst-port=83
max_m Опубликовано: 24 октября, 2012 Опубликовано: 24 октября, 2012 Вообщем должно получиться примерно так: // Натим подсеть 10,10,10,0.24 ip firewall nat add chain=srcnat action=masquerade src-address=10.10.10.0/24 out-interface=ether1 // Запрещаем подсети 172,168,48,0/24 выход в сеть провайдера по интерфейсу ether1 ip firewall filter add chain=forward action=drop src-address=172.16.20.0/24 out-interface=ether1 // А вот это правило должно быть судя повсему правило перенаправления при обращении со стороны провайдера тогда должно быть так: ip firewall nat add chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp in-interface=ether1 dst-port=83 Но !!!!!! Тогда не хватает правила выхода для подсети 172.16.20.0/24 уточните пожалуйста
viking_oleg Опубликовано: 24 октября, 2012 Автор Опубликовано: 24 октября, 2012 ip fire fil pr Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward action=drop src-address=172.16.30.0/24 out-interface=ether1 1 chain=forward action=drop src-address=172.16.48.0/24 out-interface=ether1 2 chain=forward action=drop src-address=172.16.20.0/24 out-interface=ether1 правила dst-nat созданы для управления оборудованием в соответствующих подсетях извне, но с включенными правилами файервола на оборудование я зайти не могу
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас