2

Mikrotik 750GL を使用していますが、次のような問題があります。

私は持っているsubnet 10.0.0.0/16

ルータにはlocal ip 10.0.0.1external ip (e.g. 1.1.1.1)

一部のポートをローカル ホストに転送します(e.g. firewal nat dst-nat 1.1.1.1:444 -> 10.0.0.2:80)

インターネットから 1.1.1.1:444 にアクセスすると、10.0.0.2 上の Web サーバーにアクセスできますが、LAN (例: 10.0.0.3) から 1.1.1.1:444 にアクセスすると、ページの読み込みでスタックします。

10.0.0.2 はスイッチ ルーティングによってのみ 10.0.0.3 に応答できることを理解し、新しい src-nat ルールのようなものを使用してそれを修正するために結び付けました10.0.0.0/16 -> 2.2.2.2が、何もうまくいきません

どこで間違えましたか?

4

2 に答える 2

4

あなたの質問は状況の全体像を示していません。コンソールからのエクスポートが役立ちます。

src-nat と dst-natの単純な使用は、 connection-markによってサポートされている必要があります。その後、ネットワーク サービスを使用して、ローカル IP から特定のローカル IP にトラフィックをマスカレードできます。

例:

[admin@MikroTik] > ip address export
/ip address
add address=1.1.1.1/24 disabled=no interface=ether1-gateway network=1.1.1.0
add address=10.0.0.1/24 disabled=no interface=ether2-master-local network=10.0.0.0

[admin@MikroTik] > ip firewall mangle export
/ip firewall mangle
add action=mark-connection chain=prerouting disabled=no dst-address=1.1.1.1 dst-port=444 new-connection-mark=int_to_444 passthrough=no protocol=tcp src-address=10.0.0.0/24

[admin@MikroTik] > ip firewall nat export
/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-address=1.1.1.1 dst-port=444 protocol=tcp to-addresses=10.0.0.2 to-ports=80
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway
add action=masquerade chain=srcnat connection-mark=int_to_444 disabled=no

Mangle ルールがint_to_444ローカル サブネットからアドレス指定された接続 ( ) をマークし1.1.1.1:444、Nat ルールの最後がこれをマスカレードすることがわかりますconnection-markmikrotikなしの同様の不正行為の説明

よろしく、お役に立てば幸いです。

于 2014-02-21T17:07:55.580 に答える
2

ここであなたの状況:

  1. クライアントは、送信元 IP アドレス 10.0.0.3 のパケットを送信先 IP アドレス 1.1.1.1 のポート tcp/444 に送信して、Web リソースを要求します。

  2. ルーターの宛先はパケットを 10.0.0.2 に NAT し、それに応じてパケットの宛先 IP アドレスを置き換えます。ソース IP アドレスは 10.0.0.3 のままです。

  3. サーバーはクライアントの要求に応答します。ただし、要求の送信元 IP アドレスは Web サーバーと同じサブネット上にあります。Web サーバーは応答をルーターに送り返しませんが、10.0.0.2 の応答でソース IP アドレスを使用して 10.0.0.3 に直接送り返します。解決策は、ローカル サブネット 10.0.0.0/16 からのトラフィックを、LAN インターフェイスから出て dst アドレス 10.0.0.2 にマスカレードすることです。

/ip firewall nat
add chain=srcnat src-address=10.0.0.0/16 \
  dst-address=10.0.0.2 protocol=tcp dst-port=80 \
  out-interface=LAN action=masquerade

この状況の詳細はこちらhttps://update.mikrotik.com/wiki/Hairpin_NAT

于 2018-10-24T10:43:48.667 に答える