Неверный адрес клиента при пробросе портов

RIP, OSFP, BGP, MPLS/VPLS
Ответить
introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Неверный адрес клиента при пробросе портов

Сообщение introdark » 10 июн 2019, 10:30

Доброго дня.
Просьба помочь в проблеме.
Есть терминальный сервер, который необходимо защитить от брутфорса.
Настроено правило NAT до сервера.
chain=dstnat action=netmap to-addresses=192.168.1.10 to-ports=3389
protocol=tcp dst-address=92.X.X.246 in-interface=eth1
dst-port=55555 log=yes log-prefix="RDP"

Настройки внешнего интерфейса
Address: 92.X.X.246/29
Network: 92.X.X.240
Interface: eth1

Проблема в том, что не определяется ip-адрес клиента, который пытается произвести подключение. Все подключения помечаются адресом шлюза.Пример лога:
10:17:44 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:12567->92.X.X.246:55555, len 52
10:17:48 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:37665->92.X.X.246:55555, len 52
10:18:25 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:12708->92.X.X.246:55555, len 52

Соответственно фильтровать кто подключается и с каких адресов не представляется возможным.
Буду благодарен за любую информацию.

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неверный адрес клиента при пробросе портов

Сообщение Chupaka » 10 июн 2019, 11:23

Доброго.

У вас есть правило Src-NAT (например, Masquerade всего и вся), которое вам и гадит. В srcnat должно быть что-то вроде такого:
"add chain=srcnat out-interface=eth1 action=masquerade" (т.е. указать WAN в out-interface и не добавлять ничего лишнего).

introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Re: Неверный адрес клиента при пробросе портов

Сообщение introdark » 10 июн 2019, 11:34

Да, есть такое правило, идет следом.
chain=srcnat action=masquerade out-interface=eth1 log=no

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неверный адрес клиента при пробросе портов

Сообщение Chupaka » 10 июн 2019, 12:51

И других правил в src-nat нет?

192.168.1.10 же не на eth1 висит? :)

introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Re: Неверный адрес клиента при пробросе портов

Сообщение introdark » 10 июн 2019, 13:14

Другие записи src-nat отключены. На всякий случай я их удалил, но ничего не поменялось.

Обратил внимание, что если внешний порт сменить, то адрес клиента становится идентифицироваться (правильный). Но через какое-то время снова становится статичным. Может проблема со стороны провайдера?

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неверный адрес клиента при пробросе портов

Сообщение Chupaka » 10 июн 2019, 19:37

Провайдер ни при чём к вашему роутеру. Покажите всё же

Код: Выделить всё

/ip firewall nat export

introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Re: Неверный адрес клиента при пробросе портов

Сообщение introdark » 11 июн 2019, 13:42

Код: Выделить всё

/ip firewall nat
add action=netmap chain=dstnat comment="RDP" dst-address=92.X.X.246 dst-port=55555 in-interface=eth1 log=yes log-prefix="RDP" protocol=tcp to-addresses=192.168.1.10 to-ports=3389
add action=masquerade chain=srcnat comment="NAT for LOCAL" log-prefix="NAT Local" out-interface=eth1
Последний раз редактировалось introdark 11 июн 2019, 14:05, всего редактировалось 1 раз.

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неверный адрес клиента при пробросе портов

Сообщение Chupaka » 11 июн 2019, 14:02

Аы-ы-ы... Прошу прощения, неправильно прочитал про адрес шлюза, подумал, что адрес ваш, а не провайдера... Да, раз провайдера - тогда виноват именно провайдер, они зачем-то натируют подключения по RDP.

introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Re: Неверный адрес клиента при пробросе портов

Сообщение introdark » 11 июн 2019, 14:06

Chupaka писал(а):
11 июн 2019, 14:02
Аы-ы-ы... Прошу прощения, неправильно прочитал про адрес шлюза, подумал, что адрес ваш, а не провайдера... Да, раз провайдера - тогда виноват именно провайдер, они зачем-то натируют подключения по RDP.
Попробую достучаться до оператора.

introdark
Сообщения: 6
Зарегистрирован: 10 июн 2019, 09:47

Re: Неверный адрес клиента при пробросе портов

Сообщение introdark » 13 июн 2019, 10:15

Проблема была на стороне провайдера.

Спасибо.

Ответить