ip firewall nat action=dstnat dst-address (твой белый ip) to-addresses(внутренний IP сервера)

+1

Вот такая команда, только с указанием внешнего интерфейса, а не айпи, и не работает. Этот момент принципиален? Интерфейс или айпи?

Вот такая команда, только с указанием внешнего интерфейса, а не айпи, и не работает. Этот момент принципиален? Интерфейс или айпи?

ну ты покажи что есть

покажи что в файрволе и тыды

телепатия в соседнем топике

Ох, щас не могу доступ к микротику получить, с телефона...почему то....там это правило прописано, и два маскарада(два провайдера, один отключен) трафик идет, но доступа к серваку нет.....

а со стороны сервера ты не блочешь этот траф? в фильтрах на МК ничего не блокирует?

Млин, вчера получал веб морду микротика, сейчас вообще ничего не получаю

В локалке на серых адресах все работает, все порты открыты необходимые

нужно конфиг увидеть

видимо пробросил ты всё верно, но вот где-то что-то не докрутил

Наверное остается, на настоящий момент поблагодарить всех за участие, и перенести вопрос на вечер, когда будет доступ к телу....

Чтоб было по существу......

Вот такая команда, только с указанием внешнего интерфейса, а не айпи, и не работает. Этот момент принципиален? Интерфейс или айпи?

ты еще скажи что из локалки проверял ?

часто такое встречал - указывается ин-интерфейс и проверяют из локалки. забывая при том что даже если мы указываем в запросе адрес на ВАН-интерфейсе то всеравно пакет приходит на роутер из интерфейса локалки

Кстати да-большинство тестов делал из локалки. Щас ужо не помню, но толи на плАнете, то ли на бубунте-роутере, настраивал дмз и проверял из локалки, пока не получал результата... А тут значицца по другому

Кстати, все заработало, благодарю всех, Господа.... ?

Запустили сервак, и есть к нему доступ с улицы

если нужен будет и из локалки - нужно настроить hairpin NAT

и не называй этот подход публикации ресурсов как DMZ - это не грамотно, и другие вендоры делают так лишь для маркетингового булшита на коробке. Обычный NAT, ничего более.

тогда это не ДМЗ, дмз это когда у тебя есть сеть белых адресов. То что ты описал - это просто нат. ПРобрось диапазон портов, не указывая порты на закладке Action и всё

Причем тут DMZ и IP-адреса? Главное - это изоляция общедоступных сервисов от внутренних, а какие там IP - дело десятое.

Причем тут DMZ и IP-адреса? Главное - это изоляция общедоступных сервисов от внутренних, а какие там IP - дело десятое.

Как расшифровывается термин DMZ?

Как расшифровывается термин DMZ?

Demilitarized Zone

И как же термин "зона" и "демилитаризованная" вдруг оказался рядом с обычным пробросом портов? Или теперь любой nat это дмз? Или не любой, а только для всех портов? А если не все порты пробросил или только для одного протокола — это уже дмз?

Дмз это когда все порты

Обычно

И протоколы тож все

завязывайте , философы

Вот в этом ребят и загвостка. Дмз и нат вообще не связаны.

Вот в этом ребят и загвостка. Дмз и нат вообще не связаны.

Да, только вы почему-то смешиваете эти понятия

Дмз - это зона маршрутизации, куда трафик попадает "как есть"

Потому она и демилитаризованная - обезаруженная

Да, только вы почему-то смешиваете эти понятия

Я как раз четко разгоаничиваю

И как же термин "зона" и "демилитаризованная" вдруг оказался рядом с обычным пробросом портов? Или теперь любой nat это дмз? Или не любой, а только для всех портов? А если не все порты пробросил или только для одного протокола — это уже дмз?

Вот тут смешано

Вот тут смешано

Расшифруй)

Или давай так

NAT вообще ни при чем. Вопрос ка к оно изолируется/фаерволлится

NAT вообще ни при чем. Вопрос ка к оно изолируется/фаерволлится

Потому что его быть не должно

То что кривые вендоры типа длинка называют DMZ и там обычно поле для ввода одного IP - это тупо маркетинг.

Потому что его быть не должно

То есть если NAT 1 к 1му без фаерволла, то это уже не DMZ?

То есть если NAT 1 к 1му без фаерволла, то это уже не DMZ?

Ну конечно нет)

Это нат 1 к 1

Ну конечно нет)

Правда?

Правда?

Как бы да)

Ну вообще-то нет

В определении термина вообще ничего нет про NAT

Ну вообще-то нет

Пруф?

В определении термина вообще ничего нет про NAT

Именно по этому и нет

Можно ли в таком DMZ поднять любой сервис и выставить его?

В каком "таком"?

In computer security, a DMZ or demilitarized zone (sometimes referred to as a perimeter network) is a physical or logical subnetwork that contains and exposes an organization's external-facing services to a usually larger and untrusted network, usually the Internet. The purpose of a DMZ is to add an additional layer of security to an organization's local area network (LAN); an external network node can access only what is exposed in the DMZ, while the rest of the organization's network is firewalled.

Вот хотя бы с wiki

Ну как бы отличный доверенный источник инженерной инфы. Уделал чо уж

https://en.m.wikipedia.org/wiki/DMZ_(computing) тут много примеров

Ну как бы отличный доверенный источник инженерной инфы. Уделал чо уж

Ну другой "доверенный источник инженерной инфы" в студию

Еще разок. Можно ли таким дмз без настроек выставить абсолютно любой сервис? И когда нат остается просто натом а когда уже дмз?

Еще разок. Можно ли таким дмз без настроек выставить абсолютно любой сервис? И когда нат остается просто натом а когда уже дмз?

Можно перевод на русский?

Ну другой "доверенный источник инженерной инфы" в студию

Мне достаточно опровергнуть гипотезу с НАТ и пруф будет не нужен)

Можно перевод на русский?

Можно ли, таким нат опубликовать абсолютно любой сервис в интернете, что бы он был доступен и работал? Или есть исключения?

Можно ли, таким нат опубликовать абсолютно любой сервис в интернете, что бы он был доступен и работал? Или есть исключения?

Каким таким? Я не понимаю вопроса.

И если сервис опубликованный таким образом перестанет работать, то он не в дмз?

Каким таким? Я не понимаю вопроса.

Нат

Нат

Да забудьте вы про NAT. Он никакого отношения к DMZ не имеет.

вы так и не дали четкого определения что такое ДМЗ вообще. поэтому и спорите.

Да забудьте вы про NAT. Он никакого отношения к DMZ не имеет.

Вот щас не понял))) а над чем мы спорим тогда?

вы так и не дали четкого определения что такое ДМЗ вообще. поэтому и спорите.

В том и фигня, что его нет)

ERROR: S client not available

вы так и не дали четкого определения что такое ДМЗ вообще. поэтому и спорите.

У меня есть четкое определение)

Часть сети предприятия куда трафик попадает без модификации, обычно служит для публикации ресурсов или сервисов в интернете и дополнительно отделённый от локальной сети компании для безопасности.

И никакого NAT в этом участке разумеется нет

Часть сети предприятия куда трафик попадает без модификации, обычно служит для публикации ресурсов или сервисов в интернете и дополнительно отделённый от локальной сети компании для безопасности.

NAT не модифицирует трафик

Или дайте тогда определение трафика

NAT не модифицирует трафик

СЕРЬЁЗНО????

Ахаха

СЕРЬЁЗНО????

Серьёзно. Только заголовки.

Серьёзно. Только заголовки.

Эммм простите, а заголовке нынче уже не часть трафика?

Ммм может любой роутер тоже модифицирует трафик, потому что меняет ttl пакета?

Особенно когда речь о IP

Ммм может любой роутер тоже модифицирует трафик, потому что меняет ttl пакета?

И это штатный механизм транспорта и не вызывает пересчета чек сумм

NAT не модифицирует трафик

Расскажи это IPSEC'у)))

И это штатный механизм транспорта и не вызывает пересчета чек сумм

Я так и не увидел определения что такое "трафик".

И что считается его модификацей, а что нет

Мне кажется ты пытаешься троллить) а я на примере ipsec наглядно показываю как работает nat и как он модифицирует траф)

И в ipv6 нет контрольной суммы, то есть следуя вашей аргументации DMZ в ipv6 может быть за NAT

И в ipv6 нет контрольной суммы, то есть следуя вашей аргументации DMZ в ipv6 может быть за NAT

Так вот с места про нат и шестерку подробнее)

И в ipv6 нет контрольной суммы, то есть следуя вашей аргументации DMZ в ipv6 может быть за NAT

И там нет срс на этом уровне осознанно, так как она есть и ниже и выше уровнями

И ната (в этом понимании) там тоже нет осознанно)

Так я улетаю) ссори что нафлудил, но пора бежать. Потом можно продолжить

Никто не мешает использовать NAT в v6 от слова совсем

И причём тут CRC и NAT - вообще не понятно.

Смешались в кучу кони, люди,...

подскажите, где почитать про настройку нативного ipv6 от ростелекома и домру ?

Серьёзно. Только заголовки.

ты не прав. часто в самом трафике указано с какого адерса уходит пакет, и куда идет. и это тоже надо переписывать. НАТ это не только замена СРЦ и ДСТ адресов в заголовке IP пакета. Это и замена даных в пейлоаде.

ты не прав. часто в самом трафике указано с какого адерса уходит пакет, и куда идет. и это тоже надо переписывать. НАТ это не только замена СРЦ и ДСТ адресов в заголовке IP пакета. Это и замена даных в пейлоаде.

Не часто, но бывает. FTP, IRC и прочие, да.

Чат, а подскажите, в чем проблема работы огрызков и микротик?

Все вайфай клиенты цепляются идеально, кроме иос бейзед.

Иос бейзед цепляется, но не работает интернет.

При этом "не работает" не всегда, иногда все хорошо, а иногда задержки в загрузке данных вплоть до отсутствия данных, но на тике иос видно с хорошим уровнем сигнала

Интернеты четкий ответ не дают: одни говорят только впа2-пск оставить, другие говорят про 1, 6 и 11 каналы, третьи советуют только на G скорость поставить...