Неверный адрес клиента при пробросе портов

RIP, OSFP, BGP, MPLS/VPLS
Ответить
introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Неверный адрес клиента при пробросе портов

Сообщение introdark »

Доброго дня.
Просьба помочь в проблеме.
Есть терминальный сервер, который необходимо защитить от брутфорса.
Настроено правило NAT до сервера.
chain=dstnat action=netmap to-addresses=192.168.1.10 to-ports=3389
protocol=tcp dst-address=92.X.X.246 in-interface=eth1
dst-port=55555 log=yes log-prefix="RDP"

Настройки внешнего интерфейса
Address: 92.X.X.246/29
Network: 92.X.X.240
Interface: eth1

Проблема в том, что не определяется ip-адрес клиента, который пытается произвести подключение. Все подключения помечаются адресом шлюза.Пример лога:
10:17:44 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:12567->92.X.X.246:55555, len 52
10:17:48 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:37665->92.X.X.246:55555, len 52
10:18:25 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:12708->92.X.X.246:55555, len 52

Соответственно фильтровать кто подключается и с каких адресов не представляется возможным.
Буду благодарен за любую информацию.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неверный адрес клиента при пробросе портов

Сообщение Chupaka »

Доброго.

У вас есть правило Src-NAT (например, Masquerade всего и вся), которое вам и гадит. В srcnat должно быть что-то вроде такого:
"add chain=srcnat out-interface=eth1 action=masquerade" (т.е. указать WAN в out-interface и не добавлять ничего лишнего).
introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Re: Неверный адрес клиента при пробросе портов

Сообщение introdark »

Да, есть такое правило, идет следом.
chain=srcnat action=masquerade out-interface=eth1 log=no
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неверный адрес клиента при пробросе портов

Сообщение Chupaka »

И других правил в src-nat нет?

192.168.1.10 же не на eth1 висит? :)
introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Re: Неверный адрес клиента при пробросе портов

Сообщение introdark »

Другие записи src-nat отключены. На всякий случай я их удалил, но ничего не поменялось.

Обратил внимание, что если внешний порт сменить, то адрес клиента становится идентифицироваться (правильный). Но через какое-то время снова становится статичным. Может проблема со стороны провайдера?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неверный адрес клиента при пробросе портов

Сообщение Chupaka »

Провайдер ни при чём к вашему роутеру. Покажите всё же

Код: Выделить всё

/ip firewall nat export
introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Re: Неверный адрес клиента при пробросе портов

Сообщение introdark »

Код: Выделить всё

/ip firewall nat
add action=netmap chain=dstnat comment="RDP" dst-address=92.X.X.246 dst-port=55555 in-interface=eth1 log=yes log-prefix="RDP" protocol=tcp to-addresses=192.168.1.10 to-ports=3389
add action=masquerade chain=srcnat comment="NAT for LOCAL" log-prefix="NAT Local" out-interface=eth1
Последний раз редактировалось introdark 11 июн 2019, 14:05, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неверный адрес клиента при пробросе портов

Сообщение Chupaka »

Аы-ы-ы... Прошу прощения, неправильно прочитал про адрес шлюза, подумал, что адрес ваш, а не провайдера... Да, раз провайдера - тогда виноват именно провайдер, они зачем-то натируют подключения по RDP.
introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Re: Неверный адрес клиента при пробросе портов

Сообщение introdark »

Chupaka писал(а): 11 июн 2019, 14:02 Аы-ы-ы... Прошу прощения, неправильно прочитал про адрес шлюза, подумал, что адрес ваш, а не провайдера... Да, раз провайдера - тогда виноват именно провайдер, они зачем-то натируют подключения по RDP.
Попробую достучаться до оператора.
introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Re: Неверный адрес клиента при пробросе портов

Сообщение introdark »

Проблема была на стороне провайдера.

Спасибо.
norbertrus
Сообщения: 1
Зарегистрирован: 12 фев 2021, 18:01

Re: Неверный адрес клиента при пробросе портов

Сообщение norbertrus »

А в чем именно была проблема на стороне провайдера? не могу от своего добиться вразумительного ответа. Спасибо
Ответить