Телеграмм чат группы MikrotikRus страница 33996

Он же тебе ничего плохого не сделал

19:58пожаловаться #1

И@

/ip fi nat add

chain=dstnat action=dst-nat to-addresses=192.168.88.2 protocol=tcp
dst-address=37.200.x.x in-interface=wan
dst-port=80

chain=dstnat action=dst-nat to-addresses=192.168.88.2 protocol=tcp
src-address=192.168.88.0/24 dst-address=37.200.x.x
in-interface=bridge-local dst-port=80

chain=srcnat action=masquerade src-address=192.168.88.0/24
dst-address=192.168.88.0/24

20:03пожаловаться #2

И@

первый для внешних подключений
второй для локалки
третий чтоб сами же из локалки могли

20:04пожаловаться #3

И@

сильно упростил, но верно?

20:04пожаловаться #4

И@

и в логах видим (благодаря маскараду) вместо внутренних ip только запросы с роутера 192.168.88.1, а внешние, понятно, видим нормально

20:09пожаловаться #5

Vladimir Prislonsky in MikrotikRus

Илья @angel_form

вот чую, что надо манглы смотреть чтоб цепочку построить, но не пойму как

Не получится манглами.

20:13пожаловаться #6

И@

блин! ну не нравится мне через dns раздавать адрес узла

20:19пожаловаться #7

И@

еще вопросик: почему drop invalid forward начинает отбрасывать пакеты, которые вполне себе нормальные?

20:48пожаловаться #8

B in MikrotikRus

Вот это правильный вопрос

20:57пожаловаться #9

И@

бага?

21:05пожаловаться #10

B in MikrotikRus

Нет

21:09пожаловаться #11

2020 March 12

Илья @angel_form

блин! ну не нравится мне через dns раздавать адрес узла

Обращение к ресурсу по DNS и есть самое правильное. Оно обеспечивает миграцию ресурса при необходимости и балансировку.
Для обращений изнктри сети к проброшенным портам есть три механизма:
1) Hairpin NAT
2) Split DNS
3) Вынос сервера в отдельную подсеть.

06:05пожаловаться #12

Илья @angel_form

Если в пеовом правиле убрать критерий "In-intetface", то второе правило не требуется.

06:06пожаловаться #13

Nikolai

Если в пеовом правиле убрать критерий "In-intetface", то второе правило не требуется.

А третье совсем не смущает, да?)

06:36пожаловаться #14

Diana

А третье совсем не смущает, да?)

Ну, гребет чел широкой лопатой всю dst-подсеть... или я еще чего не заметил?

06:40пожаловаться #15

Nikolai

Ну, гребет чел широкой лопатой всю dst-подсеть... или я еще чего не заметил?

Срц и дст один и тот же.

06:40пожаловаться #16

Налить чтобы натить

06:41пожаловаться #17

Diana

Налить чтобы натить

И то не всегда, если рядом есть коммутатор

06:42пожаловаться #18

Это вариант nairpin nat же.
Обращение с любого клиента во внутреннюю сеть, если по какой-то причине попало на роутер вместо связи по L2(mac), будет занатчено.
Более строгое правило имело бы в себе dst-address=192.168.88.2
Но и это работает.

Александр Шандер in MikrotikRus

06:43пожаловаться #19

АШ

Можете болезного просвятить?
chain=forward action=change-mss new-mss=1360 tcp-flags=syn protocol=tcp tcp-mss=1453-65535
Почему через ethernet порты, всё хорошо бегало в l2tp туннель Beeline, а вот Wi-Fi, не пускало, ни куда кроме mai.ru