В правилах NAT записывать Src.Adress - дурной тон?

Базовая функциональность RouterOS
Ответить
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

В правилах NAT записывать Src.Adress - дурной тон?

Сообщение sasha300 »

Приветствую!
Решил переписать конфиг, смотрю, в правилах NAT пол года назад сделал следующее:
add action=netmap chain=dstnat comment="comment" dst-port=XXXX in-interface=pppoe-out1 \
protocol=tcp src-address="ip" to-addresses="внутренний_ip" to-ports=XXXX
Почему я так сделал - не помню. :lol:
Короче я в NAT разместил Src.Address, т.о. получилось, что я прилепил фильтр.
По идее NAT для направления трафика, Filter Rules для фильтрации пакетов, а я сделал 2 в 1, это ведь не комильфо?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: В правилах NAT записывать Src.Adress - дурной тон?

Сообщение Chupaka »

Для направления трафика IP Routes, NAT для трансляции адресов :)

Конкретно по этому правилу - оно будет перенаправлять внутрь только пакеты с указанного адреса, ничего плохого в этом не вижу. Главное - понимать, что творится на роутере :)
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: В правилах NAT записывать Src.Adress - дурной тон?

Сообщение sasha300 »

Как говориться: "Мухи отдельно, котлеты отдельно"
По идее в NAT должна быть такая запись:

Код: Выделить всё

add action=netmap chain=dstnat comment="какой-то комментарий" dst-port=ХХХХ in-interface=pppoe-out1 \
    protocol=tcp to-addresses="внутренний ip" to-ports=XXXX
Т.е. любой, кто стучиться на внешний ip по порту ХХХХ попадает на внутренний ip c таким же портом
А вот в правилах фильтра идет уже отсекание "левых" ip, типа такого:

Код: Выделить всё

add chain=forward src-address="белый внешний ip"
add action=drop chain=forward
Т.о. если мне нужно донастроить тик на еще какой-то адрес, то я тупо вписываю его в правилах фильтра.
p.s.: понятное дело, что надо отталкиваться от конкретной ситуации и правило NAT вида:

Код: Выделить всё

add action=netmap chain=dstnat comment="comment" dst-port=XXXX in-interface=pppoe-out1 \
protocol=tcp src-address="ip" to-addresses="внутренний_ip" to-ports=XXXX
имеет место быть, но не могу даже представить ситуацию, когда нужно "перенаправлять внутрь только пакеты с указанного адреса"
По мне, так если IP в белом списке, значит может делать что угодно =)
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

Re: В правилах NAT записывать Src.Adress - дурной тон?

Сообщение sova_by »

Пример. Есть два внешних клиента которых надо отправить на RDP внутри сети и одному из них разрешить всё (белый список ), а второй только RDP и больше ничего , задаем их src как один из дополнительных факторов риска. Вдруг он редиска и рассказал всем соседям как попасть на ваш RDP порт =) , а так знаем кому пальцы в дверь зажать если что вдруг
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: В правилах NAT записывать Src.Adress - дурной тон?

Сообщение sasha300 »

=)
Ответить