NAT на Mikrotike

[viking_oleg 10]

Здравствуйте

 

помогите разобраться.

есть 433АН с NAT'ом, PPPoE и dhcp

вышестоящий провайдер сообщил, что адреса типа 172.16.30.0/24 (локалка за натом) и 10.10.10.0/24 (рррое)

проходят мимо ната и попадают во внешнюю сеть

 

как избавиться от этого?

 

 

ip fir nat pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=10.10.10.0/24 out-interface=ether1 ### собственно nat для pppoe
1 chain=dstnat action=dst-nat to-addresses=172.16.20.2 to-ports=80 protocol=tcp dst-port=82 ### все остальное для некоторого оборудования внутри сети
2 chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp dst-port=83
3 chain=dstnat action=dst-nat to-addresses=172.16.48.2 to-ports=80 protocol=tcp dst-port=92
4 chain=dstnat action=dst-nat to-addresses=172.16.48.3 to-ports=80 protocol=tcp dst-port=93
5 chain=dstnat action=dst-nat to-addresses=172.16.48.4 to-ports=80 protocol=tcp dst-port=94
6 chain=dstnat action=dst-nat to-addresses=172.16.48.5 to-ports=80 protocol=tcp dst-port=95
7 chain=dstnat action=dst-nat to-addresses=172.16.48.6 to-ports=80 protocol=tcp dst-port=96
8 chain=dstnat action=dst-nat to-addresses=172.16.48.7 to-ports=80 protocol=tcp dst-port=97 

[Ромка 567]

Здравствуйте

 

помогите разобраться.

есть 433АН с NAT'ом, PPPoE и dhcp

вышестоящий провайдер сообщил, что адреса типа 172.16.30.0/24 (локалка за натом) и 10.10.10.0/24 (рррое)

проходят мимо ната и попадают во внешнюю сеть

 

как избавиться от этого?

 

 

ip fir nat pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=10.10.10.0/24 out-interface=ether1 ### собственно nat для pppoe
1 chain=dstnat action=dst-nat to-addresses=172.16.20.2 to-ports=80 protocol=tcp dst-port=82 ### все остальное для некоторого оборудования внутри сети
2 chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp dst-port=83
3 chain=dstnat action=dst-nat to-addresses=172.16.48.2 to-ports=80 protocol=tcp dst-port=92
4 chain=dstnat action=dst-nat to-addresses=172.16.48.3 to-ports=80 protocol=tcp dst-port=93
5 chain=dstnat action=dst-nat to-addresses=172.16.48.4 to-ports=80 protocol=tcp dst-port=94
6 chain=dstnat action=dst-nat to-addresses=172.16.48.5 to-ports=80 protocol=tcp dst-port=95
7 chain=dstnat action=dst-nat to-addresses=172.16.48.6 to-ports=80 protocol=tcp dst-port=96
8 chain=dstnat action=dst-nat to-addresses=172.16.48.7 to-ports=80 protocol=tcp dst-port=97 

Если Ваш провайдер нормальный, то он сам молча дропнет трафик с этих адресов у себя.

А так, попробуйте

ip firewall filter add chain=output action=drop src-address=192.168.0.0/16 out-interface=ether1

ну и остальные локальные диапазоны так же

[max_m 92]

Стоп тут не правильно!

1. Какие ИП вам выдал пров ?

2. Если предположит что ваш пров Вам выдал ИП 172.16.20.2 to-ports=80 protocol=tcp dst-port=82 ### все остальное для некоторого оборудования внутри сети

2 chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp dst-port=83

3 chain=dstnat action=dst-nat to-addresses=172.16.48.2 to-ports=80 protocol=tcp dst-port=92

4 chain=dstnat action=dst-nat to-addresses=172.16.48.3 to-ports=80 protocol=tcp dst-port=93

5 chain=dstnat action=dst-nat to-addresses=172.16.48.4 to-ports=80 protocol=tcp dst-port=94

6 chain=dstnat action=dst-nat to-addresses=172.16.48.5 to-ports=80 protocol=tcp dst-port=95

7 chain=dstnat action=dst-nat to-addresses=172.16.48.6 to-ports=80 protocol=tcp dst-port=96

8 chain=dstnat action=dst-nat to-addresses=172.16.48.7 to-ports=80 protocol=tcp dst-port=97

То в данном случае можно предположить что у Вас на интерфейсе Ether1 прописаны данные ИП и у вас нету правила которое описывает исходящий от Вас запрос.

Поэтому должно быть примерно так

 

chain=srcnat action=src-nat to-addresses=172.16.20.2 src-address=10.10.10.0/24 out-interface=ether1

В противном случае у Вас при action=masquerade

Будет Натить за выборочный адрес из перечсленного выше диапазона что не есть хорошо!!!

А для того чтобы отфильтровать внутренние сети лучше написать правила типа

chain=forward action=drop src-address=192.168.0.0/16

chain=forward action=drop dst-address=192.168.0.0/16

Ну как то так.

[viking_oleg 10]

пров выдал адрес 10.235.153.8/29 на ether1

на ether2 настроен dhcp 172.16.48.1/24

на ether3 настроен dhcp 172.16.20.1/24

на wlan1 настроен dhcp 172.16.30.1/24

 

поверх всего это есть 3 рррое-сервера 10.10.10.0/24

[max_m 92]

А ну тогда понятно!!!

Ну в вашем случае тогда не хватает правил для НАТ для подситей 172.16.48.0/24, 172.16.20.0/24, 172.16.30.0/24 Если клиент с ип к примеру необходимо выйти в инет то как он это сделает правила для этого нет поэтому вы и транслируете эти подсети дальше прову... Пропишите так chain=srcnat action=masquerade out-interface=ether1 это простой вариант...

Если эти подсети не должны выходить в инет то напишите так

chain=forward action=drop src-address=172.16.48.0/24

chain=forward action=drop src-address=172.16.20.0/24

chain=forward action=drop src-address=172.16.30.0/24

[spaul 69]

Если четко понимать что делает правило, то можно понять суть проблемы.

Возьмем Ваше правило

chain=dstnat action=dst-nat to-addresses=172.16.20.2 to-ports=80 protocol=tcp dst-port=82

 

Человеческим языком расшифровуется так:

 

Все что имеет протокол protocol=tcp и идет на порт dst-port=82 перенаправить на to-addresses=172.16.20.2 на порт to-ports=80

 

Из этого следует, что если из внутрееней сети идет запрос на 82й порт, то запрос перенаправляется на 172.16.20.2. но этот айпи может находится в сети провайдера.

 

Из этого всего, я могу предположить, что со стороны провайдера вы находитесь в подсети типа 172.16.0.0/16, и потому запросы могут уходить в сеть провайдера.

 

Выхода есть два: либо указать dst-address, либо разобраться с маршрутизацией, а именно не использовать сеть пересекающуюся с подсетью провайдера.

[viking_oleg 10]

сеть провайдера - 10.235.153.8/29

локальная сеть - 172.16.х.х (см. выше)

рррое - 10.10.10.0/24 абоны только с этим адресом натятся в сеть прова

0 chain=srcnat action=masquerade src-address=10.10.10.0/24 out-interface=ether1

 

у кого нет соединения рррое в инете быть и не должен и его пакеты должны умереть на борде

я запутался...

[max_m 92]

chain=forward action=drop src-address=172.16.48.0/24 out-interface=ether1

chain=forward action=drop src-address=172.16.20.0/24 out-interface=ether1

chain=forward action=drop src-address=172.16.30.0/24 out-interface=ether1

 

 

сразу вопрос, а это зачем ?

2 chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp dst-port=83

3 chain=dstnat action=dst-nat to-addresses=172.16.48.2 to-ports=80 protocol=tcp dst-port=92

4 chain=dstnat action=dst-nat to-addresses=172.16.48.3 to-ports=80 protocol=tcp dst-port=93

5 chain=dstnat action=dst-nat to-addresses=172.16.48.4 to-ports=80 protocol=tcp dst-port=94

6 chain=dstnat action=dst-nat to-addresses=172.16.48.5 to-ports=80 protocol=tcp dst-port=95

7 chain=dstnat action=dst-nat to-addresses=172.16.48.6 to-ports=80 protocol=tcp dst-port=96

8 chain=dstnat action=dst-nat to-addresses=172.16.48.7 to-ports=80 protocol=tcp dst-port=97

[max_m 92]

Если четко понимать что делает правило, то можно понять суть проблемы.

Возьмем Ваше правило

chain=dstnat action=dst-nat to-addresses=172.16.20.2 to-ports=80 protocol=tcp dst-port=82

 

Человеческим языком расшифровуется так:

 

Все что имеет протокол protocol=tcp и идет на порт dst-port=82 перенаправить на to-addresses=172.16.20.2 на порт to-ports=80

 

Из этого следует, что если из внутрееней сети идет запрос на 82й порт, то запрос перенаправляется на 172.16.20.2. но этот айпи может находится в сети провайдера.

 

Из этого всего, я могу предположить, что со стороны провайдера вы находитесь в подсети типа 172.16.0.0/16, и потому запросы могут уходить в сеть провайдера.

 

Выхода есть два: либо указать dst-address, либо разобраться с маршрутизацией, а именно не использовать сеть пересекающуюся с подсетью провайдера.

из этого можно задать вопрос от куда перенаправлять по логике со стороны провайдера тогда нужно дописать

 

chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp in-interface=ether1 dst-port=83

[max_m 92]

Вообщем должно получиться примерно так:

 

// Натим подсеть 10,10,10,0.24

ip firewall nat add chain=srcnat action=masquerade src-address=10.10.10.0/24 out-interface=ether1

 

// Запрещаем подсети 172,168,48,0/24 выход в сеть провайдера по интерфейсу ether1

ip firewall filter add chain=forward action=drop src-address=172.16.20.0/24 out-interface=ether1

 

// А вот это правило должно быть судя повсему правило перенаправления при обращении со стороны провайдера тогда должно быть так:

ip firewall nat add chain=dstnat action=dst-nat to-addresses=172.16.20.3 to-ports=80 protocol=tcp in-interface=ether1 dst-port=83

Но !!!!!! Тогда не хватает правила выхода для подсети 172.16.20.0/24 уточните пожалуйста

[viking_oleg 10]

ip fire fil pr
Flags: X - disabled, I - invalid, D - dynamic 
0      chain=forward action=drop src-address=172.16.30.0/24 out-interface=ether1 
1      chain=forward action=drop src-address=172.16.48.0/24 out-interface=ether1 
2      chain=forward action=drop src-address=172.16.20.0/24 out-interface=ether1 

 

правила dst-nat созданы для управления оборудованием в соответствующих подсетях извне,

но с включенными правилами файервола на оборудование я зайти не могу