Перейти до

Локальный IP вместо внешнего у посетилелей веб-сайта


Рекомендованные сообщения

Здравствуйте, имеется связка: MikroTik — локалка, в локалке есть веб-сервер Ubuntu/apachе, когда посетители регистрируются из ВНЕ то у них IP = локальному IP mikrotika 192.168.1.1 подскажите пожалуйста как определить реальный IP пользователей посетивших сайт.

Відредаговано arti
Ссылка на сообщение
Поделиться на других сайтах

 

У вас SNAT какой-то? Или что?

Походу так и есть ...

 

Скорее всего у вас NAT не верно настроен.

Вам нужно для входящих пакетов(из интернета) подменять dst ip - DNAT, а для исходящих(в интернет) подменять src ip - SNAT, на микротике.

У вас же похоже подменяются сразу оба. Но без конфигов микротика это гадание на кофейной гуще.

Ссылка на сообщение
Поделиться на других сайтах

Вот весь конфиг:

 

 /export compact
# jun/28/2014 15:17:17 by RouterOS 5.26
/interface ethernet
set 0 comment="to WAN" name=internet speed=1Gbps
set 1 comment="to LAN" name=server speed=1Gbps
set 2 master-port=server name="local-1" speed=1Gbps
set 3 master-port=server name=local-2 speed=1Gbps
set 4 master-port=server name="wi-fi" speed=1Gbps
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=open ranges=192.168.88.2-192.168.88.254
add name=anonim-close ranges=192.168.89.2-192.168.89.254
/ip dhcp-server
add add-arp=yes address-pool=open authoritative=yes disabled=no interface=\
    server lease-time=10m name=open src-address=192.168.88.0
add add-arp=yes address-pool=anonim-close authoritative=yes interface=server \
    lease-time=10m name=anonim-close src-address=192.168.89.0
/ip hotspot
add address-pool=open idle-timeout=none interface=internet name=server1
/ppp profile
set 0 only-one=yes
set 1 only-one=yes
/interface pptp-client
add add-default-route=yes comment=Internet connect-to=********IP*********** disabled=no \
    max-mru=1450 max-mtu=1450 name=inet password=**********pass********* profile=default user=\
    school

/queue tree
add disabled=yes max-limit=1M name=global packet-mark=kab13 parent=global-out
/queue type
add kind=pcq name=tree-up pcq-classifier=src-address pcq-dst-address6-mask=64 \
    pcq-rate=1M pcq-src-address6-mask=64
add kind=pcq name=tree-down pcq-classifier=dst-address pcq-dst-address6-mask=64 \
    pcq-rate=1M pcq-src-address6-mask=64
add kind=pcq name=pcq-upload-default pcq-classifier=src-address
add kind=pcq name=pcq-download-default pcq-classifier=dst-address
/queue tree
add disabled=yes name=Download parent=global queue=tree-down
add disabled=yes max-limit=1M name=Upload parent=global queue=tree-up
/user group
set read policy="reboot,read,winbox,!local,!telnet,!ssh,!ftp,!write,!policy,!tes\
    t,!password,!web,!sniff,!sensitive,!api"
set write policy="local,reboot,read,write,winbox,!telnet,!ssh,!ftp,!policy,!test\
    ,!password,!web,!sniff,!sensitive,!api"
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=server
add address=192.168.89.1/24 interface="local-1"
/ip dhcp-client
add comment="default configuration" disabled=no interface=internet
/ip dhcp-server lease
add address=192.168.88.2 always-broadcast=yes client-id=00:26:18:D5:F1:EC \
    comment=server mac-address=00:26:18:D5:F1:EC

/ip dhcp-server network
add address=192.168.88.2/31 comment="lan yandex" dns-server=77.88.8.7 gateway=\
    192.168.88.1 netmask=24
add address=192.168.88.4/30 dns-server=77.88.8.7 gateway=192.168.88.1 netmask=\
    24
add address=192.168.88.8/29 dns-server=77.88.8.7 gateway=192.168.88.1 netmask=\
    24
add address=192.168.88.16/28 dns-server=77.88.8.7 gateway=192.168.88.1 netmask=\
    24
add address=192.168.88.32/27 dns-server=77.88.8.7 gateway=192.168.88.1 netmask=\
    24
add address=192.168.88.64/27 dns-server=77.88.8.7 gateway=192.168.88.1 netmask=\
    24
add address=192.168.88.96/30 dns-server=77.88.8.7 gateway=192.168.88.1 netmask=\
    24
add address=192.168.88.100/31 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.101/32 comment="lan skydns" dns-server=193.58.251.251 \
    gateway=192.168.88.1 netmask=24
add address=192.168.88.102/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.103/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.104/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.105/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.106/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.107/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.108/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.109/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.110/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.111/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.112/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.113/32 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.114/31 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.116/30 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.120/29 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.128/26 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.192/29 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.200/32 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.201/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.202/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.203/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.204/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.205/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.206/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.207/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.208/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.209/32 dns-server=193.58.251.251 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.210/31 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.212/30 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.216/29 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.224/28 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.240/29 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.248/30 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.252/31 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.88.254/32 dns-server=77.88.8.7 gateway=192.168.88.1 \
    netmask=24
add address=192.168.89.0/24 comment=noname dns-server=193.58.251.251 gateway=\
    192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.51.4
/ip dns static
add address=192.168.88.1 name=router
/ip firewall address-list
add address=192.168.88.201-192.168.88.210 list=kab13
add address=192.168.88.2 list=server
add address=192.168.89.2-192.168.89.255 list=noname_list
add address=192.168.88.2-192.168.88.255 disabled=yes list=lan
add address=192.168.88.101 comment=kab15-blok-Vk disabled=yes list=user_1_kab15
add address=192.168.88.102 disabled=yes list=user_2_kab15
add address=192.168.88.103 disabled=yes list=user_3_kab15
add address=192.168.88.104 disabled=yes list=user_4_kab15
add address=192.168.88.105 disabled=yes list=user_5_kab15
add address=192.168.88.106 disabled=yes list=user_6_kab15
add address=192.168.88.107 disabled=yes list=user_7_kab15
add address=192.168.88.108 disabled=yes list=user_8_kab15
add address=192.168.88.109 disabled=yes list=user_9_kab15
add address=192.168.88.110 disabled=yes list=user_10_kab15
add address=192.168.88.111 disabled=yes list=user_11_kab15
add address=192.168.88.112 disabled=yes list=user_12_kab15
add address=192.168.88.101-192.168.88.112 list=kab15
/ip firewall filter
add action=drop chain=input comment="no webbox" disabled=yes in-interface=inet
add action=drop chain=customer comment="no web-server" disabled=yes
add action=drop chain=forward comment=zapret_vneshniy_27023 dst-address=\
    192.168.88.0/24 protocol=tcp src-port=27023
add action=drop chain=forward comment=zapret_vneshniy_27023 dst-address=\
    192.168.88.0/24 protocol=udp src-port=27023
add action=drop chain=forward comment=ban_port_27015 dst-address=\
    192.168.88.0/24 protocol=tcp src-port=27005
add action=drop chain=forward dst-address=192.168.88.0/24 protocol=tcp \
    src-port=27015
add action=drop chain=forward dst-address=192.168.88.0/24 protocol=tcp \
    src-port=27016
add action=drop chain=forward dst-address=192.168.88.0/24 protocol=tcp \
    src-port=27017
add action=drop chain=forward dst-address=192.168.88.0/24 protocol=tcp \
    src-port=27018
add action=drop chain=forward dst-address=192.168.88.0/24 protocol=tcp \
    src-port=27019
add action=drop chain=forward dst-address=192.168.88.0/24 protocol=tcp \
    src-port=27020
add action=drop chain=forward dst-address=192.168.88.0/24 protocol=tcp \
    src-port=27021
add chain=input comment="Added by webbox" protocol=icmp
add chain=input connection-state=established in-interface=inet
add chain=input connection-state=related in-interface=inet
add action=jump chain=forward in-interface=inet jump-target=customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=forward comment=lan_off_kab15 disabled=yes protocol=udp \
    src-port=27015
add action=reject chain=forward comment=BLOCK_VK_KAB_13 disabled=yes \
    dst-address=87.240.131.117 protocol=tcp reject-with=tcp-reset \
    src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.131.101 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.131.120 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.143.244 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.131.118 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.143.246 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.156.161 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.156.162 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.156.163 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.156.164 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.156.165 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.156.166 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.156.167 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.156.168 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward content="Host: vk.com" disabled=yes protocol=\
    tcp reject-with=tcp-reset src-address-list=kab13
add action=reject chain=forward disabled=yes dst-address=87.240.143.244 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.118 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.246 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.161 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.162 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.164 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.165 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.166 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.167 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.168 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward content="Host: vk.com" disabled=yes protocol=\
    tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward comment=BLOCK_VK_KAB_15-6 disabled=yes \
    dst-address=87.240.131.117 protocol=tcp reject-with=tcp-reset \
    src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.101 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.120 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.244 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.118 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.246 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.161 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.162 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.164 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.165 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.166 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.167 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.168 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward content="Host: vk.com" disabled=yes protocol=\
    tcp reject-with=tcp-reset src-address-list=user_6_kab15
add action=reject chain=forward comment=BLOCK_VK_KAB_15 disabled=yes \
    dst-address=87.240.131.117 protocol=tcp reject-with=tcp-reset \
    src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.101 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.120 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.244 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.118 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.246 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.161 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.162 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.164 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.165 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.166 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.167 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.168 \
    protocol=tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward content="Host: vk.com" disabled=yes protocol=\
    tcp reject-with=tcp-reset src-address-list=kab15
add action=reject chain=forward comment=no_youtube_kab15 content=\
    "Host: youtube.com" disabled=yes protocol=tcp reject-with=tcp-reset \
    src-address-list=kab15
add action=reject chain=forward comment=no_youtube_kab13 content=\
    "Host: youtube.com" disabled=yes protocol=tcp reject-with=tcp-reset \
    src-address-list=kab13
add action=reject chain=forward comment=BLOCK_VK_KAB_15-1 disabled=yes \
    dst-address=87.240.131.117 protocol=tcp reject-with=tcp-reset \
    src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.101 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.120 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.244 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.118 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.246 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.161 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.162 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.163 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.164 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.165 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.166 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.167 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.168 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward content="Host: vk.com" disabled=yes protocol=\
    tcp reject-with=tcp-reset src-address-list=user_1_kab15
add action=reject chain=forward comment=BLOCK_VK_KAB_15-2 disabled=yes \
    dst-address=87.240.131.117 protocol=tcp reject-with=tcp-reset \
    src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.101 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.120 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.244 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.118 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.246 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.161 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.162 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.164 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.165 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.166 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.167 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.168 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward content="Host: vk.com" disabled=yes protocol=\
    tcp reject-with=tcp-reset src-address-list=user_2_kab15
add action=reject chain=forward comment=BLOCK_VK_KAB_15-3 disabled=yes \
    dst-address=87.240.131.117 protocol=tcp reject-with=tcp-reset \
    src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.101 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.120 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.244 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.118 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.246 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.161 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.162 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.164 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.165 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.166 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.167 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.168 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward content="Host: vk.com" disabled=yes protocol=\
    tcp reject-with=tcp-reset src-address-list=user_3_kab15
add action=reject chain=forward comment=BLOCK_VK_KAB_15-4 disabled=yes \
    dst-address=87.240.131.117 protocol=tcp reject-with=tcp-reset \
    src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.101 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.120 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.244 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.118 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.143.246 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.161 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.162 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.164 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.165 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.166 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.167 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.156.168 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward content="Host: vk.com" disabled=yes protocol=\
    tcp reject-with=tcp-reset src-address-list=user_4_kab15
add action=reject chain=forward comment=BLOCK_VK_KAB_15-5 disabled=yes \
    dst-address=87.240.131.117 protocol=tcp reject-with=tcp-reset \
    src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.101 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward disabled=yes dst-address=87.240.131.120 \
    protocol=tcp reject-with=tcp-reset src-address-list=user_5_kab15
add action=reject chain=forward comment=*-*--*-*-*-*-*-*-*-* content=\
    "Host: vk.com" disabled=yes protocol=tcp reject-with=tcp-reset src-address=\
    192.168.88.0/24 src-port=443
add action=reject chain=forward content=facebook.com.* disabled=yes \
    reject-with=icmp-admin-prohibited src-address=192.168.88.0/24
/ip firewall mangle
add chain=output comment="acept proxy" disabled=yes dscp=4 src-address-list=\
    kab15
add action=mark-connection chain=prerouting disabled=yes dst-address-list=kab13 \
    new-connection-mark=kab13-mark
add action=mark-packet chain=prerouting connection-mark=kab13-mark disabled=yes \
    dst-address-list=kab13 new-packet-mark=kab13 passthrough=no
/ip firewall nat
add action=dst-nat chain=dstnat comment=peraadresaciya_levix dst-port=80 \
    protocol=tcp src-address-list=noname_list to-addresses=192.168.88.2 \
    to-ports=81
add action=dst-nat chain=dstnat dst-port=443 protocol=tcp src-address-list=\
    noname_list to-addresses=192.168.88.2 to-ports=80
add action=masquerade chain=srcnat comment=Ok src-address-list=lan
add action=masquerade chain=srcnat src-address-list=noname_list
add action=dst-nat chain=dstnat comment="ftp server ON" dst-address=\
    **********ВНЕШНИЙ IP************* dst-port=21 protocol=tcp to-addresses=192.168.88.2 to-ports=\
    21
add action=dst-nat chain=dstnat dst-address=**********ВНЕШНИЙ IP************* dst-port=20 \
    protocol=tcp to-addresses=192.168.88.2 to-ports=20
add action=masquerade chain=srcnat comment="Added by webbox" out-interface=\
    internet
add action=masquerade chain=srcnat out-interface=inet
add action=dst-nat chain=dstnat comment=web-server dst-address=**********ВНЕШНИЙ IP************* \
    dst-port=80 protocol=tcp to-addresses=192.168.88.2 to-ports=80
add action=masquerade chain=srcnat comment="2 setka" src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment="mikrotik web" disabled=yes \
    dst-address=**********ВНЕШНИЙ IP************* dst-port=81 protocol=tcp to-addresses=\
    192.168.88.1 to-ports=81
add action=dst-nat chain=dstnat comment="wi-fi kab15" dst-address=\
    **********ВНЕШНИЙ IP************* dst-port=82 protocol=tcp to-addresses=192.168.88.3 to-ports=\
    80
add action=dst-nat chain=dstnat comment="wi-fi local-2" dst-address=\
    **********ВНЕШНИЙ IP************* dst-port=83 protocol=tcp to-addresses=192.168.88.4 to-ports=\
    80
add action=dst-nat chain=dstnat comment="wi-fi biblioteka" dst-address=\
    **********ВНЕШНИЙ IP************* dst-port=84 protocol=tcp to-addresses=192.168.88.5 to-ports=\
    80
add action=dst-nat chain=dstnat comment="wi-fi kab13" dst-address=\
    **********ВНЕШНИЙ IP************* dst-port=85 protocol=tcp to-addresses=192.168.88.6 to-ports=\
    80
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat comment="ssl on web-server" dst-address=\
    **********ВНЕШНИЙ IP************* dst-port=443 protocol=tcp to-addresses=192.168.88.2 \
    to-ports=443
add action=dst-nat chain=dstnat comment=stat_server disabled=yes dst-address=\
    **********ВНЕШНИЙ IP************* dst-port=5555 protocol=tcp to-addresses=192.168.88.2 \
    to-ports=5555
add action=dst-nat chain=dstnat comment=mytest-result dst-address=\
    **********ВНЕШНИЙ IP************* dst-port=5005 protocol=tcp to-addresses=192.168.88.2 \
    to-ports=5005
add action=dst-nat chain=dstnat comment=mytest-web dst-address=**********ВНЕШНИЙ IP************* \
    dst-port=7777 protocol=tcp to-addresses=192.168.88.2 to-ports=7777
add action=dst-nat chain=dstnat comment=contesner-server dst-address=\
    **********ВНЕШНИЙ IP************* dst-port=8888 protocol=tcp to-addresses=192.168.88.2 \
    to-ports=8888
add action=redirect chain=dstnat comment=proxy disabled=yes protocol=tcp \
    src-address-list=kab15 to-ports=8080
add action=dst-nat chain=dstnat comment="webmin on web-server" disabled=yes \
    dst-address=**********ВНЕШНИЙ IP************* dst-port=10000 protocol=tcp to-addresses=\
    192.168.88.2 to-ports=10000
add action=dst-nat chain=dstnat comment="firebird - inet" disabled=yes \
    dst-address=**********ВНЕШНИЙ IP************* dst-port=3050 protocol=tcp to-addresses=\
    192.168.88.2 to-ports=3050
add action=dst-nat chain=dstnat comment=CS disabled=yes dst-address=\
    **********ВНЕШНИЙ IP************* dst-port=27015 protocol=tcp to-addresses=192.168.88.100 \
    to-ports=27015
/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
/ip ipsec peer
add
/ip neighbor discovery
set internet disabled=yes
set server disabled=yes
set "local-1" disabled=yes
set "wi-fi" disabled=yes
/ip proxy
set max-cache-size=none
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=81
set ssh disabled=yes
set api-ssl port=8729
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=internet type=internal
add interface=server type=internal
add interface="local-1" type=internal
add interface=local-2 type=internal
add interface="wi-fi" type=internal
add interface=inet type=external

/system clock
set time-zone-name=Europe/Kiev
/system clock manual
set dst-end="sep/12/2013 00:00:00" dst-start="sep/12/2013 00:00:00" time-zone=\
    +03:00
/system identity
set name=SERVER
/system ntp client
set enabled=yes mode=unicast primary-ntp=91.226.136.136
/system scheduler
add interval=4w2d name=month-bickup on-event="{/system backup save name=Month}" \
    policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
    start-date=sep/24/2013 start-time=06:00:00
/tool graphing interface
add
/tool mac-server
add disabled=no interface=server
add disabled=no interface="local-1"
add disabled=no interface=local-2
add disabled=no interface="wi-fi"
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=server
add interface="local-1"
add interface=local-2
add interface="wi-fi"
/tool traffic-monitor
add disabled=yes interface=inet name=tmon1 threshold=0

 

Ссылка на сообщение
Поделиться на других сайтах

На первый взгляд виновато правило:

add action=masquerade chain=srcnat

Попробуйте его отключить.

 

 

Отключил все правила в НАТ кроме веб-сервера и add action=masquerade chain=srcnat проблема осталась, оставляю только одно правило веб-сервера проблема остается и появляются проблемы с загрузкой вебстраниц.

Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте, имеется связка: MikroTik — локалка, в локалке есть веб-сервер Ubuntu/apachе, когда посетители регистрируются из ВНЕ то у них IP = локальному IP mikrotika 192.168.1.1 подскажите пожалуйста как определить реальный IP пользователей посетивших сайт.

 

на входе перед сервером стоит роутер (192.168.1.1) который маскарадит все пакеты идущие во внутреннюю сеть, нужно правельно переадресовать порты на этом роутере (192.168.1.1), и настроить маскарад на внешнюю сеть, а не на обе стороны.

Відредаговано SavPasha
Ссылка на сообщение
Поделиться на других сайтах

 

Здравствуйте, имеется связка: MikroTik — локалка, в локалке есть веб-сервер Ubuntu/apachе, когда посетители регистрируются из ВНЕ то у них IP = локальному IP mikrotika 192.168.1.1 подскажите пожалуйста как определить реальный IP пользователей посетивших сайт.

 

на входе перед сервером стоит роутер (192.168.1.1) который маскарадит все пакеты идущие во внутреннюю сеть, нужно правельно переадресовать порты на этом роутере (192.168.1.1), и настроить маскарад на внешнюю сеть, а не на обе стороны.

 

Выше конфиг "роутера" маршрутизатора микротик. Может подробнеее подскажете?

Ссылка на сообщение
Поделиться на других сайтах

 

 

Здравствуйте, имеется связка: MikroTik — локалка, в локалке есть веб-сервер Ubuntu/apachе, когда посетители регистрируются из ВНЕ то у них IP = локальному IP mikrotika 192.168.1.1 подскажите пожалуйста как определить реальный IP пользователей посетивших сайт.

 

на входе перед сервером стоит роутер (192.168.1.1) который маскарадит все пакеты идущие во внутреннюю сеть, нужно правельно переадресовать порты на этом роутере (192.168.1.1), и настроить маскарад на внешнюю сеть, а не на обе стороны.

 

Выше конфиг "роутера" маршрутизатора микротик. Может подробнеее подскажете?

 

это не он!! перед ним есть еще роутер на 192.168.1.1 которий вам по DHCP выдает ІР адрес !!

Відредаговано SavPasha
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

 

 

Здравствуйте, имеется связка: MikroTik — локалка, в локалке есть веб-сервер Ubuntu/apachе, когда посетители регистрируются из ВНЕ то у них IP = локальному IP mikrotika 192.168.1.1 подскажите пожалуйста как определить реальный IP пользователей посетивших сайт.

 

на входе перед сервером стоит роутер (192.168.1.1) который маскарадит все пакеты идущие во внутреннюю сеть, нужно правельно переадресовать порты на этом роутере (192.168.1.1), и настроить маскарад на внешнюю сеть, а не на обе стороны.

 

Выше конфиг "роутера" маршрутизатора микротик. Может подробнеее подскажете?

 

это не он!! перед ним есть еще роутер на 192.168.1.1 которий вам по DHCP выдает ІР адрес !!

 

Микротик и есть 192.168.1.1 или по конфигу (192.168.88.1) в него идёт кабель от провайдера :) далее идет сервер *.*.*.2 и пошли клиенты...

Відредаговано arti
Ссылка на сообщение
Поделиться на других сайтах

 

 

 

 

Здравствуйте, имеется связка: MikroTik — локалка, в локалке есть веб-сервер Ubuntu/apachе, когда посетители регистрируются из ВНЕ то у них IP = локальному IP mikrotika 192.168.1.1 подскажите пожалуйста как определить реальный IP пользователей посетивших сайт.

 

на входе перед сервером стоит роутер (192.168.1.1) который маскарадит все пакеты идущие во внутреннюю сеть, нужно правельно переадресовать порты на этом роутере (192.168.1.1), и настроить маскарад на внешнюю сеть, а не на обе стороны.

 

Выше конфиг "роутера" маршрутизатора микротик. Может подробнеее подскажете?

 

это не он!! перед ним есть еще роутер на 192.168.1.1 которий вам по DHCP выдает ІР адрес !!

 

Микротик и есть 192.168.1.1 или по конфигу (192.168.88.1) в него идёт кабель от провайдера :) далее идет сервер *.*.*.2 и пошли клиенты...

 

Стоп!! У вас на апаче клієнти светятса на 192.168.1.1 или на 192.168.88.1 из вне

Відредаговано SavPasha
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

Стоп!! У вас на апаче клієнти от 192.168.1.1 или от 192.168.88.1 из вне

 

 

в локалке у всех *.*.88.* апач *.*.88.2, когда захожу из ВНЕ по домену сайта то мне показует что у меня ip локальный той сети где стоит апач, хотя я выхожу из ВНЕ (со стороны интеренета/где-то далеко дома где другой провайдер и я не как не связан с той локалкой где апач) ип 192.168.1.1 взят с потолка

Відредаговано arti
Ссылка на сообщение
Поделиться на других сайтах

 

 

Стоп!! У вас на апаче клієнти от 192.168.1.1 или от 192.168.88.1 из вне

 

 

в локалке у всех *.*.88.* апач *.*.88.2, когда захожу из ВНЕ по домену сайта то мне показует что у меня ip локальный той сети где стоит апач, хотя я выхожу из ВНЕ (со стороны интеренета/где-то далеко дома где другой провайдер и я не как не связан с той локалкой где апач) ип 192.168.1.1 взят с потолка

 

 

 

 

из конфига:

строка 472: add action=masquerade chain=srcnat out-interface=inet

строка 492: add action=masquerade chain=srcnat

 лишнее!!

строка 470: add action=masquerade chain=srcnat out-interface=ineternet

 добавить: src-address=192.168.88.0/24

 

 

а для чего вам: pptp-client ? inet

Відредаговано SavPasha
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

из конфига:

строка 472: add action=masquerade chain=srcnat out-interface=inet

строка 492: add action=masquerade chain=srcnat

 лишнее!!

строка 470: add action=masquerade chain=srcnat out-interface=ineternet

 добавить: src-address=192.168.88.0/24

Обновил, интеренета в локалке нет,  сайт теперь не доступен из вне

 

а для чего вам: pptp-client ? inet

 

интернет приходит по впн от провайдера

Відредаговано arti
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

строка 470: add action=masquerade chain=srcnat out-interface=inet src-address=192.168.88.0/24

При такой конфигурации есть интернет в локалке, но не доступен сайт из вне или очень долго загружает (строки 472 и 492 закоментированы)

Відредаговано arti
Ссылка на сообщение
Поделиться на других сайтах

какой ІР vpn-server і + route print в студию!!

 

в сам верх цепочки NAT

add action=dst-nat chain=dstnat comment=web-server dst-address=**********ВНЕШНИЙ IP************* \
    dst-port=80 protocol=tcp to-addresses=192.168.88.2 to-ports=80

Відредаговано SavPasha
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

какой ІР vpn-server і + route print в студию!!

 

в сам верх цепочки NAT

add action=dst-nat chain=dstnat comment=web-server dst-address=**********ВНЕШНИЙ IP************* \

    dst-port=80 protocol=tcp to-addresses=192.168.88.2 to-ports=80

Написал данные для просмотра конфига в ЛС

Відредаговано arti
Ссылка на сообщение
Поделиться на других сайтах

із апача тоже route print

Таблица маршутизации ядра протокола IP

Destination Gateway Genmask Flags Metric Ref Use Iface

default         192.168.88.1    0.0.0.0         UG    0      0        0 eth0

192.168.88.0    *               255.255.255.0   U     1      0        0 eth0

 

Ссылка на сообщение
Поделиться на других сайтах
  • 4 months later...

Прошу прощения, а как получилось разрешить данную проблему? просто у меня проблема аналогична, то что было описано выше - не помогает

 

UPD: разобрался, всетаки помогло добавление в правило маскарада src-address=192.168.88.0/24

Відредаговано Joc_ker
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від Tryionion
      Продажа оборудование 
      OLT BDCOM P3608B (GEPON)
      Коммутаторы Extreme Summit X480 
      Коммутатор Extreme Networks Summit X450a-24t
      Маршрутизатор MikroTik Cloud Core Router 1016-12S-1S+
      MikroTik CCR1036-12G-4S-EM
       
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від vankiller
      Продам новий
      Маршрутизатор Mikrotik CCR1016-12S-1S+, with Tilera Tile-Gx16 CPU (16-cores, 1.2Ghz per core), 2GB
      ціна - 33000грн/шт
       
      Маршрутизатор MikroTik Cloud Core Router 1016-12G — це потужне рішення для мережевих потреб. За основу взято процесор Tilera Tile-Gx16, що забезпечує високу продуктивність. Із 12 портами Gigabit Ethernet, консольним портом і можливістю установки в стійку, він ідеально підходить для великих мереж і дата-центрів. Маршрутизатор MikroTik забезпечує надійність, швидкість і гнучкість налаштування, що робить його вибором номер один для професійного використання.
       
      Основні особливості Mikrotik CCR1016-12S-1S+
      16-х ядерний мережевий процесор Tilera Tile-Gx.
      12х SFP портів
      1x SFP+ порт
      1х SFP to RJ45 перетворювач
       
       
       
       
      тел 0664485206
      telegram 0664485206
      Доставка через НП за власний рахунок (при оплаті готівкою)
       
      Також, можна оплатити на ФОП
       
       
       
       
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
×
×
  • Створити нове...