Страница 1 из 1
В правилах NAT записывать Src.Adress - дурной тон?
Добавлено: 18 ноя 2016, 22:58
sasha300
Приветствую!
Решил переписать конфиг, смотрю, в правилах NAT пол года назад сделал следующее:
add action=netmap chain=dstnat comment="comment" dst-port=XXXX in-interface=pppoe-out1 \
protocol=tcp src-address="ip" to-addresses="внутренний_ip" to-ports=XXXX
Почему я так сделал - не помню.
Короче я в NAT разместил Src.Address, т.о. получилось, что я прилепил фильтр.
По идее NAT для направления трафика, Filter Rules для фильтрации пакетов, а я сделал 2 в 1, это ведь не комильфо?
Re: В правилах NAT записывать Src.Adress - дурной тон?
Добавлено: 19 ноя 2016, 05:10
Chupaka
Для направления трафика IP Routes, NAT для трансляции адресов
Конкретно по этому правилу - оно будет перенаправлять внутрь только пакеты с указанного адреса, ничего плохого в этом не вижу. Главное - понимать, что творится на роутере
Re: В правилах NAT записывать Src.Adress - дурной тон?
Добавлено: 19 ноя 2016, 12:58
sasha300
Как говориться: "Мухи отдельно, котлеты отдельно"
По идее в NAT должна быть такая запись:
Код: Выделить всё
add action=netmap chain=dstnat comment="какой-то комментарий" dst-port=ХХХХ in-interface=pppoe-out1 \
protocol=tcp to-addresses="внутренний ip" to-ports=XXXX
Т.е. любой, кто стучиться на внешний ip по порту ХХХХ попадает на внутренний ip c таким же портом
А вот в правилах фильтра идет уже отсекание "левых" ip, типа такого:
Код: Выделить всё
add chain=forward src-address="белый внешний ip"
add action=drop chain=forward
Т.о. если мне нужно донастроить тик на еще какой-то адрес, то я тупо вписываю его в правилах фильтра.
p.s.: понятное дело, что надо отталкиваться от конкретной ситуации и правило NAT вида:
Код: Выделить всё
add action=netmap chain=dstnat comment="comment" dst-port=XXXX in-interface=pppoe-out1 \
protocol=tcp src-address="ip" to-addresses="внутренний_ip" to-ports=XXXX
имеет место быть, но не могу даже представить ситуацию, когда нужно "перенаправлять внутрь только пакеты с указанного адреса"
По мне, так если IP в белом списке, значит может делать что угодно =)
Re: В правилах NAT записывать Src.Adress - дурной тон?
Добавлено: 20 ноя 2016, 17:46
sova_by
Пример. Есть два внешних клиента которых надо отправить на RDP внутри сети и одному из них разрешить всё (белый список ), а второй только RDP и больше ничего , задаем их src как один из дополнительных факторов риска. Вдруг он редиска и рассказал всем соседям как попасть на ваш RDP порт =) , а так знаем кому пальцы в дверь зажать если что вдруг
Re: В правилах NAT записывать Src.Adress - дурной тон?
Добавлено: 21 ноя 2016, 16:01
sasha300
=)