Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

Dubbi su dst-nat

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....

Dubbi su dst-nat

Messaggioda reyarth » sab 8 gen 2022, 12:09

Buongiorno a tutti e buon anno.
Ho un dubbio su il funzionamento di un comando su dst-nat.

In pratica se creo una regola del tipo:

/ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.1.1 to-port=1234

la regola funziona.

Cosa cambia nello specificare in-interface=wan per esempio?

perchè ci sono casi in cui specificando in-interface, la regola funziona "meglio".

non riesco a trovare una spiegazione chiara (per me) dell'argomento.

Saluti
Salvo
reyarth
Mikrotik Curious User
Mikrotik Curious User
 
Messaggi: 4
Iscritto il: lun 18 mar 2019, 17:55
Uso routerOS dalla Versione: v6.x

Re: Dubbi su dst-nat

Messaggioda ppraz » dom 9 gen 2022, 0:11

Ciao,
La possibilità di specificare la in-interface è un filtro per restringere le connessioni a cui applicare la NAT, non è certamente obbligatoria ma in certi casi può essere utile, ad esempio se si ha una multi-wan si specifica da quale wan deve arrivare la connessione a cui applicare la regola (wan1, wan2, ecc)

Tornando alla tua regola, il consiglio di base è di specificare SEMPRE il dst-address O la in-interface
Hai dichiarato che qualunque connessione verso porta 1234 venga inviata a 192.168.1.1 porta 1234
QUALUNQUE connessione, entrante, uscente, verso qualsiasi IP
Una regola più corretta è ad esempio specificare in-interface=wan oppure dst-address=wan-IP
Spero di essere stato chiaro
Ciao
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 988
Iscritto il: sab 12 mar 2011, 14:13
Uso routerOS dalla Versione: v3.x

Re: Dubbi su dst-nat

Messaggioda abbio90 » lun 10 gen 2022, 0:15

Inoltre se fai un dst Nat della porta 443 TCP senza specificare l'interfaccia potresti non navigare..
Avatar utente
abbio90
Mikrotik-Pro 1° Liv
Mikrotik-Pro 1° Liv
 
Messaggi: 426
Iscritto il: lun 26 giu 2017, 19:11
Località: Oristano
Uso routerOS dalla Versione: v4.x

Re: Dubbi su dst-nat

Messaggioda reyarth » lun 10 gen 2022, 16:53

@ppraz, grazie per la risposta, in effetti per come l'hai esposta, "entrante, uscente, verso qualsiasi IP" è stato abbastanza illuminante. infatti come dice @abbio90, se viene applicata una regola sulla 443 (https), visto che la stragranza maggioranza dei siti usa proprio questa porta, non si naviga piu se non si specifica per l'appunto in-interface= ethernet1-wan
Volendo approfondire un attimo la tematica, mi risulta chiaro "in-interface = ether1 (WAN)", ovvero connessione entrante su ethernet 1, che genericamente viene usata per la WAN.

ho qualche difficolta a "collegarmi mentalmente" sulla dst-address=wan-IP

se ho capito il concetto, posso stringere il filtro indicando src-address=0.0.0.0/0 (tutti gli ip, quindi non vale la pena compilarlo), oppure qualche specifico IP Pubblico Remoto.
dst-address nel caso il router effettui il PPPOE equivale all'Ip Pubblico statico.

Ma nel caso la rete sia articolata come segue che indico?
[internet*--> Antenna ubiquiti (fa pppoe e ottiene ip pubblico statico, esempio inventato 5.90.25.1 )
l'antenna ha indirizzo interno 172.16.0.1
rilascia DHCP 172.16.0.2-172.16.0.2 (un solo indirizzo LAN configurato di proposito) su cui è applicato il DMZ
mikrotik prende su ethernet1 = WAN l'indirizzo 172.16.0.2
(poi la lan mikrotik 192.168.0.0/24 ma non credo che qui interessi)

in questo caso come va trattato il dst-address?

Spero di aver scritto il più chiaro possibile anche per chi ci leggerà in futuro
reyarth
Mikrotik Curious User
Mikrotik Curious User
 
Messaggi: 4
Iscritto il: lun 18 mar 2019, 17:55
Uso routerOS dalla Versione: v6.x

Re: Dubbi su dst-nat

Messaggioda ppraz » lun 10 gen 2022, 19:22

Puoi lasciare la regola della in-interface e funziona correttamente sia se l'ip che ti assegnano è statico sia se è dinamico
Ti faccio un esempio di dst-address
Supponi di avere sulla WAN una subnet pubblica, ad esempio 5.90.25.0/29
Quindi hai gli IP:
5.90.25.1
5.90.25.2
5.90.25.3
5.90.25.4
5.90.25.5
5.90.25.6
(ovviamente non hai il .0 e il .7 perché sono NET e BROADCAST)
In questo caso puoi esporre lo stesso servizio (stessa porta) su diversi IP
es:
dst-address 5.90.25.1 dst-port=443 action=dst-nat to-address=192.168.0.13 to-port=443
dst-address 5.90.25.2 dst-port=443 action=dst-nat to-address=192.168.0.23 to-port=443
dst-address 5.90.25.3 dst-port=443 action=dst-nat to-address=192.168.0.33 to-port=443
dst-address 5.90.25.4 dst-port=443 action=dst-nat to-address=192.168.0.43 to-port=443

Ovviamente è solo un esempio ma credo di aver reso l'idea
Il concetto è che Mikrotik ti permette di fare quello che vuoi, anche cose sbagliate :D
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 988
Iscritto il: sab 12 mar 2011, 14:13
Uso routerOS dalla Versione: v3.x

Re: Dubbi su dst-nat

Messaggioda reyarth » lun 10 gen 2022, 20:43

Ah penso di aver capito... vediamo se è vero!!
supponiamo che ho solo un ip pubblico per iniziare, 5.90.25.1
dst-address 5.90.25.1 dst-port=443 action=dst-nat to-address=192.168.0.13 to-port=443 in-interface = eth1
(aggiungo in-interface perche voglio che sia solo per le connessioni in ingresso)
192.168.0.13 to-port=443 suppongo sia un server wordpress per un sito ospitato nel mio pc..

supponiamo adesso che dentro la mia rete faccio girare un pbx voip, all'indirizzo 192.168.0.43 porta 443 per la gestione da rete lan...
e supponiamo per assurdo che chiedo al mio provider un secondo indirizzo ip, il 5.90.25.25 per esempio


dst-address 5.90.25.1 dst-port=443 action=dst-nat to-address=192.168.0.13 to-port=443 in-interface = eth1
dst-address 5.90.25.25 dst-port=443 action=dst-nat to-address=192.168.0.43 to-port=443 in-interface = eth1

se non ho capito male, questa configurazione mi permette di sfruttare la stessa porta ma da origini diverse ( i due ip pubblici interrogati da remoto) per arrivare a due servizi diversi sfruttando la stessa porta...

magari è detto male, ma possibile che ho capito??? (spero che non ti strappi i capelli, mikrotik mi affascina da morire)
reyarth
Mikrotik Curious User
Mikrotik Curious User
 
Messaggi: 4
Iscritto il: lun 18 mar 2019, 17:55
Uso routerOS dalla Versione: v6.x

Re: Dubbi su dst-nat

Messaggioda ppraz » gio 13 gen 2022, 13:51

Sì, hai capito perfettamente!
Ciao
G.
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 988
Iscritto il: sab 12 mar 2011, 14:13
Uso routerOS dalla Versione: v3.x



Torna a RouterOS

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti