Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Virtuální Bastlírna vol. 62: WSL for Windows 98

včera 23:22 | Pozvánky

Chybí vám někdo, s kým byste si popovídali o bastlení, technice, počítačích a vědě? Nechcete riskovat debatu o sportu u piva v hospodě? Pak doražte na virtuální pokec u virtuálního piva v rámci Virtuální Bastlírny organizované strahovským MacGyverem již tento čtvrtek. Možná se ptáte, co se tak může probírat? Dají se probrat slavná výročí - kromě 55 let obvodu 555 (což je mimochodem prý andělské číslo) a vzpomínky na firmu Signetics -

… více »

bkralik | Komentářů: 0

GTK2-NG

včera 23:11 | Zajímavý software

GTK2-NG je komunitní fork GTK 2.24 (aktuální verze je 4.22). Oznámení a diskuse v diskusním fóru Devuanu, forku Debianu bez systemd. Není to jediný fork GTK 2. Ardour je například postaven na vlastním forku GTK 2 s názvem YTK.

Ladislav Hagara | Komentářů: 0

#1 MobileLinux Hackday České Budějovice

včera 17:33 | Pozvánky

V neděli 17. května 2026 proběhne v Českých Budějovicích první MobileLinux Hackday zaměřený na Linux v mobilech, embedded platformy a open source hardware. Po sedmi úspěšných měsíčních setkáních v Praze se akce přesouvá také do jižních Čech, aby se komunita mobilního Linuxu mohla potkat i mimo hlavní město. Akce se uskuteční v konferenčním sále Vajgar v Clarion Congress Hotelu (Pražská tř. 2306/14) se zahájením mezi 14:00 až 15:00 a … více »

lkocman | Komentářů: 0

Debian musí dodávat reprodukovatelné balíčky

včera 15:00 | Komunita

Vývojáři Debianu zhruba v polovině vývojového cyklu Debianu 14 s kódovým názvem Forky rozhodli, že Debian musí dodávat reprodukovatelné balíčky, tj. kdokoli si může nezávisle ověřit, že daný binární balíček vznikl překladem a sestavením z konkrétních zdrojových kódů. Aktuálně je reprodukovatelných 98,29 % balíčků.

Ladislav Hagara | Komentářů: 0

Německý e-shop Škoda Auto byl hacknut

včera 14:11 | Bezpečnostní upozornění

Německý e-shop Škoda Auto byl hacknut. Útočníci získali přístup k uživatelským údajům (jméno, adresa, e-mail, heslo, telefon, …).

Ladislav Hagara | Komentářů: 2

Konference Den IPv6: program je na webu, registrujte se

včera 11:22 | Pozvánky

Na webu konference Den IPv6 2026, která se uskuteční 4. června v Národní technické knihovně v pražských Dejvicích, je nyní k dispozici kompletní program této tradiční akce věnované tématům spojeným s protokolem IPv6. Na celodenní pásmo přednášek je třeba se přihlásit a zaplatit účastnický poplatek 242 korun. Registrační formulář najdou zájemci opět na webu akce. Konferenci Den IPv6 2026 organizují i letos společně sdružení CESNET, CZ.NIC a NIX.CZ.

VSladek | Komentářů: 1

Ratty, emulátor terminálu s podporou 3D grafiky

11.5. 23:33 | Zajímavý software

Byl představen emulátor terminálu Ratty (GitHub) s podporu 3D grafiky přímo v terminálu. Inspirací byl operační systém TempleOS od Terryho Davise. Ratty je napsán v jazyce Rust. Využívá knihovnu Ratatui pro tvorbu rozhraní a herní engine Bevy pro 3D vykreslování.

Ladislav Hagara | Komentářů: 4

Brusel řeší, jak omezit VPN aplikace

11.5. 17:55 | IT novinky

Evropské instituce i některé americké státy dál zpřísňují pravidla pro ověřování věku na internetu. Cílem je zabránit dětem v přístupu k obsahu pro dospělé. Úřady ale narážejí na zásadní problém – stále více lidí používá VPN, tedy služby umožňující skrýt identitu i skutečnou polohu na internetu. Právě VPN nyní Evropská parlamentní výzkumná služba (EPRS) označila za „mezeru v legislativě, kterou je potřeba uzavřít“ [Novinky.cz].

Ladislav Hagara | Komentářů: 36

Joplin 3.6

11.5. 17:22 | Nová verze

Multiplatformní open source aplikace pro psaní poznámek Joplin (Wikipedie) byla vydána v nové verzi 3.6. Nově lze mít v poznámkách embedovaný externí obsah, např. YouTube videa.

Ladislav Hagara | Komentářů: 3

Open Hardware Summit 2026

11.5. 16:44 | Komunita

Open Hardware Summit 2026 organizovaný OSHWA (Open Source Hardware Association) proběhne o víkendu 23. a 24. května v Berlíně na Technické univerzitě Berlín.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Mikrotik přesměrování portů do vnitří sítě

Štítky: firewally, Grafana, iptables, mikrotik, NAT, router, síť, sítě, SSH

Dotaz: Mikrotik přesměrování portů do vnitří sítě

22.10.2020 10:24 ZAH | skóre: 43 | blog: ZAH
Mikrotik přesměrování portů do vnitří sítě

Přečteno: 920×

Odpovědět | Admin

Mám vnitří síť s několika subnety jako router do vnější sítě mám mikrotik s RouterOS 6.47.4 vše vypadá normálně a funguje.

Přidával jsem testovací subnet a v něm je prozatím jeden Raspberry Pi s rasbianem . Na tomto stroji jsem potřeboval tři služby dostupných z internetu. Nastavil jsem na routru povolení k přesměrování tří portů nastavil NAT na Raspberry na příslušné porty a mám přístupný pouze SSH ostaní dva ne.

Nepřístupné jsou z internetu Grafana port 3000, a Node-Red 1880. Služby běží a jsou přístupné z ostatním subnetů vnitřní sítě. Předpokládal jsem chybu NAT nebo filtru, tak jsem v zoufalství nahradil cílový port nepřístupných služeb v NATU portem 22 SSH a hle na všech SSH běželo normálně.

Iptables v Raspberry by mělo povolovat vše.

Má někdo nějaký typ co otestovat. ZAH

Řešení dotazu:

Komentář #10 (Vantomas, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

22.10.2020 12:07 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Chtělo by to vidět ta pravidla firewallu...

Linux Dokumentační Projekt - PDF ke stažení

22.10.2020 20:05 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Natovaci pravidla, funguje pravidlo 17 ostatni dvě ne.


17    chain=dstnat action=dst-nat to-addresses=192.168.157.10 to-ports=22   protocol=tcp in-interface=ether1_WAN dst-port=2422 log=yes log-prefix="SSH Jahoda" 
18    chain=dstnat action=dst-nat to-addresses=192.168.157.10 to-ports=1880 protocol=tcp in-interface=ether1_WAN dst-port=2480 log=no log-prefix="" 
19    chain=dstnat action=dst-nat to-addresses=192.168.157.10 to-ports=3000 protocol=tcp in-interface=ether1_WAN dst-port=2430 log=yes log-prefix="Grafana"

Pravidlo 19 po zapnuti logovani zapisuje.

22.10.2020 20:23 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Takže jen u 17 přibývají data (bajty, pakety) ve výpisu pravidel nebo jen u 17 se dostanete na cílový server?

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

22.10.2020 16:19 j
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Pust si na tom RPI tcpdump a jdi se na to pripojit, pokud pakety nedorazi, pust si totez na tom mikrotikovi.

Pokud pakety dorazi, mas to blbe prave na tom rpi. A nemusi to byt jen firewall.

---

Dete s tim guuglem dopice!

22.10.2020 20:14 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Příloha:

Mikrotik smerovani (4728 bytů)

V přiloze záchyt komunikace na RPI.

1. Fungující Grafana z vnitřní sítě z jiného subnetu.

2. Fungující SSH z venku

3. Související pravidla NAT

Log Mikrotiku potvrzuje provedení pravidel přesměrování. Snifer Mikrotiku potvrzuje přijem komunikace. Komunikace se ztratí někde mezi NAT routru a RPI.

Potřeboval bych nakopnout jak zachytit a filtrovat odchozí komunikaci Mikrotiku. ZAH

22.10.2020 20:31 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Co tam je za konektivitu? Není tam nějaký DSL? Pak bych zkusil přidat pravidlo pro snížení TCP MSS.

V opačném případě se další hádání neobejde bez komplet filter forward a nat snat pravidel.

22.10.2020 21:27 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Konektivitou to nebude sndartní wifi s veřejnou IP.

Mezitím jsem zachytil v logu toto.

	Drop uknown forward: in:ether1_WAN out:bridge1, src-mac ac:1f:6b:a5:xx:xx, proto TCP (SYN), 161.97.xxx.xxx:50620->192.168.157.10:3000, NAT 161.97.xxx.xxx:50620->(10.18.13.182:2430->192.168.157.10:3000), len 60

Předpokládal jsem že postačí povolit navázaná spojení.

13    ;;; Established WAN forward  connection
      chain=forward action=accept connection-state=established,related log=no log-prefix=""

23.10.2020 10:04 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Takže už to funguje, když jsi našel další indicii?

23.10.2020 10:58 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Bohužel ne, dostanu se k tomu až navečer. Pak budu hledat dál.

Řešení 1× (ZAH (tazatel))

23.10.2020 12:46 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Fajn. Nejspíš tam je problém s tím pravidlem okolo navázaných spojení a že nejsou povolená nová spojení z venku. Když jsi zkoušel měnit ta DNAT pravidla směřem na port 22 a to, že ti to ssh šlo otevřít, tak to prostě byla jen náhoda v tom, že v conntrack tabulce zůstala nějaká stará spojení a ta nová pak spadla do "related".

No a pak taky pozor na to, že dst-porty ve filteru musí být ty na které se dělá DNAT, protože po pohledu do schéma je vidět, že se nejprve prochází NAT pravidla a pak teprve FILTER.

23.10.2020 20:15 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě

Bingo ! . Nejprve prochází NAT, takže ve filter musí být DST port z NATU pro porty kdy, je pouze přesměrování do vnitřní sítě si to nemusíme uvědomovat.

Založit nové vlákno • Nahoru

Tiskni Sdílej: