5 chain=dstnat action=dst-nat to-addresses=172.16.221.175 protocol=tcp src-address-list=!BOGONS in-interface=domru dst-port=50413,25,80,443 log=no log-prefix=""

и настраивается в ip neighbors

Кстати насчет этого. Я тут давеча отключил на ненужных интерфейсах, так у меня 2 впна рваться стали - l2tp + l2tp&ipsec Хз как оно связано, но весь лог ими засрат. Причем я не ощущал что они не подключенные. Обращаюсь через них к ресурсу-работает. 5 мин повтыкал в винбокс и на интерфейсах отсутствия R не заметил

почему же он его дропает?

этот пакет подпадает под днат

днат разрешен

а дропается в инпуте?

Dmitrii Petrenko, [28.11.16 12:39] 13 chain=forward action=accept connection-nat-state=dstnat in-interface=domru log=no log-prefix="" Dmitrii Petrenko, [28.11.16 12:40] 7 chain=input action=drop in-interface=domru log=yes log-prefix="sa"

а с чего он ддропать его должен?

может потому что СНАЧАЛА дроп, потом АКЦЕПТ?

номера странные

это если я верно понял что это номерация попорядку

13:36:33 firewall,info sa input: in:domru out:(none), proto TCP (ACK,RST), 85.192.168.109:40098->188.187.190.18:50413, len 40

порт 40098 дропается а не 50413

хотя опять же ФОРВАРД и ИНПУТ идет после ДНАТА, тоесть сначеный трафик под инпут подпадать не должен

Вопрос для чего это правило? 5 chain=dstnat action=dst-nat to-addresses=172.16.221.175 protocol=tcp src-address-list=!BOGONS in-interface=domru dst-port=50413,25,80,443 log=no log-prefix="

вот

и я о том же

ну сервак поднял у человека, что не ясно ?

почему оно в инпут летит

а кто сказал что в инпуте режет?

может еще где то режет

включи логирование в правиле дропа и глянь какой трафик оно дропает

ну правило с логом в инпуте стоит

13:36:33 firewall,info sa input: in:domru out:(none), proto TCP (ACK,RST), 85.192.168.109:40098->188.187.190.18:50413, len 40

вот включил уже

7 chain=input action=drop in-interface=domru log=yes log-prefix="sa"

правило которое его дропнуло и лог отписалось

src-address-list=!BOGONS тут причина не может быть?

может срцшка попала в тот адреслист?

0 BOGONS 0.0.0.0/8 1 BOGONS 10.0.0.0/8 2 BOGONS 100.64.0.0/10 3 BOGONS 127.0.0.0/8 4 BOGONS 169.254.0.0/16 5 BOGONS 172.16.0.0/12 6 BOGONS 192.0.0.0/24 7 BOGONS 192.0.2.0/24 8 BOGONS 192.168.0.0/16 9 BOGONS 198.18.0.0/15 10 BOGONS 198.51.100.0/24 11 BOGONS 203.0.113.0/24 12 BOGONS 224.0.0.0/3 13 BOGONS 192.88.99.0/24 14 BOGONS 240.0.0.0/4

ну и попробуй еще акцептить чейн инпут по натстейту=дстнатед

ну и попробуй еще акцептить чейн инпут по натстейту=дстнатед

чече? -)

Может в правилах стоит указать порт дистонейшен?

13 chain=forward action=accept connection-nat-state=dstnat in-interface=domru log=no log-prefix=""

чейн поменяй на инпут в копии этого правила

хотя нет

ааааа

а смысл у роутера эти порта все равно закрыты

из инпута в форвард ему уже не попасть

всмыле этот пакет все равно не за днатится

Ай нид хелп

Имеется капсман

И три точки

Как сделать чтобы они автоматом раскидывались на правильные каналы

Т.е. чтоб вручную не настраивать

щас еще в протелеком кинул

может инокентий с помощью мультикаста объяснит -)

Как сделать чтобы они автоматом раскидывались на правильные каналы

поставить канал АВТО

Там нет такой опции

)))

а и не нужно

банально ничего не ставь

оно само автоматом будет искать частоту

Ну, у меня все точки на одну частоту попадают

ну потому что считают ее свободной

щас еще в протелеком кинул

размечтался. всеобщий игнор

значит тоже не знают

ну спроси Илью, может он найдет пару минут и глянет

@IlyaKnyazev глянь плиз в чем косяк :)

@IlyaKnyazev глянь плиз в чем косяк :)

Куда глядеть и что не работает? Файрволл глянул. Мне там не все нравится. А что не работатает не понял.

Куда глядеть и что не работает? Файрволл глянул. Мне там не все нравится. А что не работатает не понял.

днат не днатит

правило на днат есть а микрот его в инпут пихает

правило на днат есть а микрот его в инпут пихает

Правило. Именно это покажи.

Куда глядеть и что не работает? Файрволл глянул. Мне там не все нравится. А что не работатает не понял.

?

5 chain=dstnat action=dst-nat to-addresses=172.16.221.175 protocol=tcp src-address-list=!BOGONS in-interface=domru dst-port=50413,25,80,443 log=no log-prefix=""

Мне вот это не нравится например. В чем смысл? add chain=forward connection-nat-state=dstnat connection-state=!invalid in-interface=domru логично было бы add chain=forward connection-nat-state=!dstnat connection-state=new in-interface=domru action=drop

смысл разрешить форвардить все то что прописано в dst nat на форвард кроме инвалидов

но ладно бы пакеты не идут в форвард впринципе

ERROR: S client not available

Логичнее запретить форвардить пакеты с wan-интерфейса не прошедшие dst-nat. Иначе вас проломить легко

Так они в forward после NAT попадают

Так они в forward после NAT попадают

ага. только они почему то в инпут залетают

Значит в NAT отбор неправильный. Смотрю

Логичнее запретить форвардить пакеты с wan-интерфейса не прошедшие dst-nat. Иначе вас проломить легко

все верно. только у меня полиси дроп потому я прописываю то что можно форвардить а последним правилом дропаю все.

ну и... я всегда открыт для экспериментов

-)

Покажи /ip addresses и /ip route

можешь внешние на что-то поменять

[admin@eXmachine] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 172.16.221.1/24 172.16.221.0 local 1 XI 172.16.32.89/24 172.16.32.0 golik 2 172.16.222.1/29 172.16.222.0 vlan1 3 I 10.40.1.10/29 10.40.1.8 vpls1 4 D 188.187.190.18/32 10.78.63.254 domru

0 X S 0.0.0.0/0 azurel2tp 2 1 X S 0.0.0.0/0 192.168.5.1 1 2 ADS 0.0.0.0/0 10.78.63.254 3 3 X S 10.40.1.0/28 10.40.1.9 1 4 ADC 10.78.63.254/32 188.187.190.18 domru 0 5 ADC 172.16.221.0/24 172.16.221.1 local 0 6 ADC 172.16.222.0/29 172.16.222.1 vlan1 0

можешь внешние на что-то поменять

это настоящий внешний говорю ж открыт для эксперементов -))))

)))

Погоди. смотрю

Если в правиле NAT убрать !BOGON работает?

14:36:49 system,info nat rule changed by admin 14:36:49 firewall,info sa input: in:domru out:(none), proto TCP (SYN,ACK), 95.28.99.92:17684->188.187.190.18:59644, len 60 14:36:52 firewall,info sa input: in:domru out:(none), proto TCP (SYN,ACK), 95.28.99.92:17684->188.187.190.18:59644, len 60 14:36:58 firewall,info sa input: in:domru out:(none), proto TCP (SYN,ACK), 95.28.99.92:17684->188.187.190.18:59644, len 56 14:37:10 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 58 14:37:10 firewall,info sa input: in:domru out:(none), proto TCP (RST), 95.28.99.92:17684->188.187.190.18:59644, len 40 14:37:13 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 58 14:37:20 firewall,info sa input: in:domru out:(none), proto UDP, 10.43.160.213:23139->188.187.190.18:50413, len 131 14:37:39 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 48 14:37:40 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 48 14:37:42 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 48 14:37:43 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 48 14:37:43 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 48 14:37:46 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 48 14:37:49 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 48 14:37:52 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 48 14:37:53 firewall,info sa input: in:domru out:(none), proto TCP (RST), 77.88.21.124:993->188.187.190.18:59701, len 40 14:37:56 system,info,account user admin logged in from 172.16.221.197 via telnet 14:38:00 firewall,info sa input: in:domru out:(none), proto TCP (SYN,ACK), 89.45.67.200:80->188.187.190.18:43146, len 40 14:38:02 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 48 14:38:05 firewall,info sa input: in:domru out:(none), proto UDP, 10.50.18.139:45481->188.187.190.18:50413, len 48 14:38:11 firewall,info sa input: in:domru out:(none), proto TCP (ACK,FIN), 31.23.251.253:38196->188.187.190.18:45713, len 52

с tcp пока не видно

зато теперь летит udp

внизу же

это на закрытый порт

он не днатится

с udp тоже адрес лист убрал

щас

ждемс

лови на 443 порту

есть чего? у меня в телнете глухо

а я уже успел обрадоватся

14:44:47 firewall,info sa input: in:domru out:(none), proto TCP (ACK,FIN), 192.168.0.101:54348->188.187.190.18:50413, len 40 14:44:48 firewall,info sa input: in:domru out:(none), proto TCP (ACK,FIN), 192.168.0.101:54348->188.187.190.18:50413, len 40 14:44:50 firewall,info sa input: in:domru out:(none), proto TCP (ACK,FIN), 192.168.0.101:54348->188.187.190.18:50413, len 40 14:44:53 firewall,info sa input: in:domru out:(none), proto TCP (ACK,FIN), 192.168.0.101:54348->188.187.190.18:50413, len 40

что за адрес странный? и вообще, меня на 443 порту не светит? странно, попробую 50413

не 443 80 я убрал я не готов к такой открытости -)))) там самописные php дырявые как дуршлаг -)))

ой, думаешь это тебя спасет если здешняя публика тобой заинтересуется? ?

https://publish.cf/P4efPbdahPfO