Přesměrování portů na 4011?

Návody a problémy s konfigurací.
Peri
Příspěvky: 2
Registrován: 8 months ago

Přesměrování portů na 4011?

Příspěvekod Peri » 8 months ago

Omlouvám se za možná trivialní dotaz, ale už nevím kudy kam a potřebuji prověřit i triviality.
Mam RB4011 veřejná IP na WAN a v LAN PC s IP 192.168.0.22 na kterém jede IIS s nějakým z venku přístupným webem na portu 80, který chci přesunout na 82.
Přidal jsem pravidlo:

Kód: Vybrat vše

add action=dst-nat chain=dstnat comment="Port forwarding web server" \    dst-port=80,82,22,3389 in-interface-list=WAN protocol=tcp to-addresses=192.168.0.22

Pokud IIS 6.0 jede na portu 80 je web přístupný jak v interní síti http:/192.168.0.22 tak z internetu přes veřejnou IP. Pokud v IIS přepnu na port 82 je web přístupny v interní siti přes http:/192.168.0.22:82 ,ale z internetu přes http:/ve.ře.j.na:82 ne.
Nejspiš to nebude problém routeru,ale IIS, nicmeně už nevím co s tím. V IIS 6.0 mam port změnen na 82, v interní siti to funguje na portu 82 , router z venku port 82 předáva, dokonce paket pro port 82 na 192.168.0.22 zachytím, přesto to z venku nefunguje.
Vzdálená ploch tj port 3389 také funguje bez problémů.
Kdyby měl někdo nápad na co se podávat?
0 x

mirek.k
Příspěvky: 721
Registrován: 11 years ago

Příspěvekod mirek.k » 8 months ago

Chyba je tady:
in-interface-list=WAN
Má být:
in-interface=WAN
0 x

rsaf
Příspěvky: 1225
Registrován: 12 years ago

Příspěvekod rsaf » 8 months ago

Proč?
0 x

mirek.k
Příspěvky: 721
Registrován: 11 years ago

Příspěvekod mirek.k » 8 months ago

rsaf píše:Proč?

Protože nepředpokládám WAN v interface listu.
0 x

rsaf
Příspěvky: 1225
Registrován: 12 years ago

Příspěvekod rsaf » 8 months ago

Proč?
Evidentně tam jsou "pozůstatky" default konfigurace a pokud by WAN nebyl v tom listu, nefungovaly by ani další portforwardy.

V tomhle případě těžko říct. Tipoval bych problém na straně windows (možná firewall, povolen jen lokální scope...), případně pošli celý export konfigurace z Mikrotiku (hlavně ip/firewall) jestli se to nebije s jiným pravidlem...
0 x

Peri
Příspěvky: 2
Registrován: 8 months ago

Příspěvekod Peri » 8 months ago

Uz jsem z toho vyházel co šlo a tak Firewall a interface list vypadají nějak takto

Kód: Vybrat vše

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Port forwarding web server" \
    dst-port=80,82,3389,22 in-interface-list=WAN protocol=\
    tcp to-addresses=192.168.0.22



Edit:
Tak jsme to už odhalil, 192.168.0.22 je nějaaký prehistorický Winsdows Server a v pravdle na firewallu toho Windows serveru které povoluje port 82 jsem měl chybu, misto 82 tam bylo 82. (s trečkou)
Timto si sypu popel na hlavu a omlouvám se.
Nicmeně když už jsme sem dal konfuguraci firewallu, je to pro mě také tak trochu španělská vesnice, kde najit vzorové nastvení, co případně přidat ubrat do toho co tam mám, nechci moc omezovat provoz z LAN protže tím pak nejvíce omezuji sebe na druhou stranu .....

V každém případě všem děkuji
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti