D
Александр Амелькин
123 -> 123 🤷♂️
А ты уверен в этом? Может что-то не так в эксперименте?
Size: a a a
2020 December 12
АА
А ты уверен в этом? Может что-то не так в эксперименте?
Уверен. Поставил логгирование на порты ниже 10000 и отловил 123 ->123 NAT
VP
Александр Амелькин
Да не суть какие порты, найти бы где это настраивается (если настраивается) а там я разберусь
Можете попробовать сделать петлю. Чтобы заначенные микротиком пакеты снова прошли через фаерволл.
АА
Можете попробовать сделать петлю. Чтобы заначенные микротиком пакеты снова прошли через фаерволл.
Ну это уж совсем костыль (
VP
Александр Амелькин
Ну это уж совсем костыль (
Я бы так не сказал. Обычная PBR. А вот крутить порты в НАТ это таки костыль. )
D
Я бы так не сказал. Обычная PBR. А вот крутить порты в НАТ это таки костыль. )
Можно просто на нужный диапазон портов левый dstnat повесить, тогда будет как надо)
VP
Можно просто на нужный диапазон портов левый dstnat повесить, тогда будет как надо)
Не понял идею. Приходящий трафик же не управляем ДО микротика.
АА
Не понял идею. Приходящий трафик же не управляем ДО микротика.
Я идею понял. Человек советует таким костылем запретить самому микроту использовать эти порты.
D
Не понял идею. Приходящий трафик же не управляем ДО микротика.
На микротике повесить dstnat на диапазон портов, ну например до 10000 dstnat делать на фейковый адрес. Я не думаю, что микротик будет открывать сокеты на те порты, которые "слушает" дстнат
D
Александр Амелькин
Я идею понял. Человек советует таким костылем запретить самому микроту использовать эти порты.
Ну стейтлес фв тоже так себе костыль)
АА
Другой вопрос:
Как в миротиковском FW Отличить пакеты, отправленные с IP адреса шлюза провайдера, от пакетов отправленных ЧЕРЕЗ шлюз провайдера кем-то другим, при условии что правило должно быть универсальным и не быть завязано на конкретный IP адрес. (используется DHCP клиент)
Как в миротиковском FW Отличить пакеты, отправленные с IP адреса шлюза провайдера, от пакетов отправленных ЧЕРЕЗ шлюз провайдера кем-то другим, при условии что правило должно быть универсальным и не быть завязано на конкретный IP адрес. (используется DHCP клиент)
АА
Ну стейтлес фв тоже так себе костыль)
там он by design
VP
На микротике повесить dstnat на диапазон портов, ну например до 10000 dstnat делать на фейковый адрес. Я не думаю, что микротик будет открывать сокеты на те порты, которые "слушает" дстнат
"не понял идею" - это я про себя. Насколько я понял ФВ ни слухом ни духом про последующий НАТ. Разве что конфигами синхронизировать dstnat на микротике и фильтр на ФВ. Тогда просто на основании дстпорта и флага syn ФВ сможет спрогнозировать, что микротик будет НАТить.
VP
Александр Амелькин
Другой вопрос:
Как в миротиковском FW Отличить пакеты, отправленные с IP адреса шлюза провайдера, от пакетов отправленных ЧЕРЕЗ шлюз провайдера кем-то другим, при условии что правило должно быть универсальным и не быть завязано на конкретный IP адрес. (используется DHCP клиент)
Как в миротиковском FW Отличить пакеты, отправленные с IP адреса шлюза провайдера, от пакетов отправленных ЧЕРЕЗ шлюз провайдера кем-то другим, при условии что правило должно быть универсальным и не быть завязано на конкретный IP адрес. (используется DHCP клиент)
По src-address
АА
По src-address
я же говорю, что адрес шлюза провайдера может быть любым.
АА
Это "мобильный" микротик. Он должен работать при подключении в любую розетку, где есть интернет.
D
"не понял идею" - это я про себя. Насколько я понял ФВ ни слухом ни духом про последующий НАТ. Разве что конфигами синхронизировать dstnat на микротике и фильтр на ФВ. Тогда просто на основании дстпорта и флага syn ФВ сможет спрогнозировать, что микротик будет НАТить.
А зачем ему знать то? Задача просто заставить микротик не открывать сокет с портом ниже 10000. Если мы это не можем настроить, тогда просто займем их
АА
А зачем ему знать то? Задача просто заставить микротик не открывать сокет с портом ниже 10000. Если мы это не можем настроить, тогда просто займем их
А если тупо дропать (на самом микроте) все входящие <10000 Этого не будет ему достатчно чтоб он не занимал эти порты ?
VP
Александр Амелькин
Это "мобильный" микротик. Он должен работать при подключении в любую розетку, где есть интернет.
Что в Вашем условии "шлюз провайдера"? Некстхоп для микротика? Какой-то произвольных хоп? )
D
Александр Амелькин
А если тупо дропать (на самом микроте) все входящие <10000 Этого не будет ему достатчно чтоб он не занимал эти порты ?
Нет, он будет просто дропать.