Dubbio firewall su NAT e probe con Dude

[El Berto]

Ho una RB411 con modem USB (indirizzo IP pubblico su interfaccia PPP), poi assegno a ether1 indirizzo privato 192.168.1.1.
Ci collego anche un dispositivo che mi fa da server 192.168.1.2 (sulla porta 4001) e ci accedo traite telnet (sulla porta 23).

Il mio NAT è questo:
2.192.23.140:4001 -> 192.168.1.2:4001 (server)
2.192.23.140:4023 -> 192.168.1.2:23 (telnet)
2.192.23.140:23 -> 192.168.1.1:23 (telnet sulla RB411, per test)
2.192.23.140:8080 -> 192.168.1.1:80 (http sulla RB411, per test)

Adesso, come regole di firewall:
TCP, input interface=ppp-client1, chain=input, dst-port=4001, action=accept
TCP, input interface=ppp-client1, chain=input, dst-port=4023, action=accept
TCP, input interface=ppp-client1, chain=input, dst-port=23, action=accept
TCP, input interface=ppp-client1, chain=input, dst-port=8291, action=accept (porta per winbox)
TCP, input interface=ppp-client1, chain=input, dst-port=8080, action=accept
Tutto il resto -> drop

Su Dude utilizzo dei probe che lavorano sulle porte 4023 e 8080; il controllo del dispositivo 192.168.1.2 (che utilizza un probe sulla porta 4023) funziona correttamente; mi collego con winbox sulla RB, ma il probe sulla porta 8080 mi va in timeout.
Per riuscire a lavorare con i probes sulla porta 8080 devo mettere una regola di firewall che mi lascia passare la porta 80.
Ma quindi viene fatto PRIMA il NAT e poi viene applicato il firewall?
Poi per il firewall sul 192.168.1.2 dalla rete pubblica, con il NAT attivo, quale chain devo usare (input, forward o altro)?
Grazie.

[ppraz]

No aspetta, non puoi fare la regola

2.192.23.140:8080 -> 192.168.1.1:80 (http sulla RB411, per test)

Devi invece mettere il server www in ascolto sulla 8080 anzichè sulla 80 e togliere questa NAT

[El Berto]

Cioè?

Codice: Seleziona tutto

2.192.23.140:8080 -> 192.168.1.1:80 (http sulla RB411, per test)

In questo modo natto la pagina web, anzichè accedere alla pagina web tramite interfaccia pubblica (tipo 2.192.23.140 sulla porta 80 standard), accedo alla pagina dell'interfaccia eth1, che ha indirizzo IP privato.

Questo era per:
- verificare delle "anomalie" con il Dude (se faccio un probe sulla porta 80 dell'indirizzo IP pubblico mi mette sempre un tempo di risposta 0 nel grafico, se faccio un probe sulla porta 4023 del server attaccato in rete privata mi arrivano dei timeout anche di 2 secondi)
- prendere un po' di dimestichezza con il firewall in quanto non so se per limitare l'accesso dall'esterno ai dispositivi con il NAT io debba impostare nel firewall le porte pubbliche o quelle private

[ppraz]

Il fatto è che secondo me non puoi nattare una porta della rb su un'altra porta sempre della rb con una semplice nat dall'ip pubblico al privato.
Invece credo che puoi risolvere o collegandoti direttamente alla porta 80 dell'ip pubblico oppure cambiando la porta del servizio www da 80 a 8080.

[Linkwave]

No aspetta, non puoi fare la regola

2.192.23.140:8080 -> 192.168.1.1:80 (http sulla RB411, per test)

Sicuro?

[ppraz]

No, anzi sono sicuro che sia possibile farlo, ma non mi sembra l'approccio giusto, piuttosto un workaround.
Se l'intenzione è quella di accedere dall'esterno all'interfaccia web della rb su porta 8080 non capisco perché fare una nat quando posso cambiare la porta di ascolto del demone www da 80 a 8080.
Una nat è pur sempre un'operazione di modifica del pacchetto ip, non è a costo 0.