abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
5.3. 20:22 | Pozvánky

Zítra proběhne jednodenní online konference InstallFest 2021. Na programu je celá řada zajímavých přednášek, workshopů a také stánků. Dění lze sledovat na Twitteru.

Ladislav Hagara | Komentářů: 0
5.3. 13:11 | Nová verze

Byla vydána nová verze 6.5 v Javě napsané aplikace pro komplexní návrh rozmístění nábytku a dalšího vybavení v interiérech Sweet Home 3D. Vyzkoušet lze online verzi. Nedávno byly aktualizovány také knihovny nábytku.

Ladislav Hagara | Komentářů: 0
5.3. 08:00 | Humor

Nové verze webových prohlížečů Firefox a Chrome byly vydávány každých 6 týdnů. Vývojářům Firefoxu se nelíbilo, že Chrome bude mít vždy větší číslo verze, proto se rozhodli vydávat nové verze Firefoxu každé 4 týdny. Aktuální stav: Firefox 86 byl vydán v 8. týdnu a Chrome 89 v 9 týdnu letošního roku. V kterém týdnu bude mít Firefox větší číslo verze než Chrome?

… více »
Ladislav Hagara | Komentářů: 37
5.3. 07:00 | Zajímavý článek

Thom Holwerda popisuje na OSnews pracovní stanici Raptor Blackbird Secure Desktop (architektura POWER9) a své zkušenosti s ní včetně provozu desktopových aplikací.

Fluttershy, yay! | Komentářů: 1
5.3. 06:00 | Nová verze

Byla vydána nová verze 1.54 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.54 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 2
4.3. 14:23 | Zajímavý článek

Check Point zveřejnil report, podle kterého NSA v roce 2013 vytvořila exploit pro operační systém MS Windows. Exploit sloužil k lokální eskalaci práv. O rok později tento exploit ukradli hackeři z Číny. Až po dvou letech byl exploit zveřejněn a Microsoft vydal aktualizaci. Jinými slovy, celé téma se točí o tom, jak NSA zřejmě přispěla ke globálnímu snížení kybernetické bezpečnosti. Celý příběh podrobně naleznete na checkpoint.com.

Max | Komentářů: 6
4.3. 09:11 | Komunita

Framework Flutter (Wikipedie) pro vývoj mobilních, webových i desktopových aplikací byl vydán ve verzi 2 a související programovací jazyk Dart (Wikipedie) byl vydán ve verzi 2.12. Proběhla online konference Flutter Engage. Videozáznam je k dispozici na YouTube. Canonical zde oznámil (Twitter, YouTube), že Flutter je výchozí volba pro vývoj nových aplikací pro Ubuntu.

Ladislav Hagara | Komentářů: 0
4.3. 09:00 | IT novinky

Společnost AMD na YouTube představila novou grafickou kartu AMD Radeon RX 6700 XT postavenou na architektuře RDNA 2. V prodeji bude od 18. března. Její cena byla stanovena na 479 dolarů.

Ladislav Hagara | Komentářů: 22
4.3. 08:00 | Nová verze

Uživatelsky přívětivý shell fish byl vydán ve verzi 3.2.0 Vylepšuje uživatelské rozhraní (doplňování, práce s historií úprav textu aj.), přidává napovídání argumentů dalších aplikací, zjednodušuje syntaxi (expanze rozsahů), opravuje chyby.

Fluttershy, yay! | Komentářů: 0
3.3. 16:00 | Zajímavý software

Steam Link je nově dostupný také pro 64bitový x86 Linux. Streamovat hry z výkonného počítače s nainstalovanou službou Steam lze tedy vedle telefonu, tabletu nebo televize i do počítače s Linuxem. Instalovat Steam Link lze z Flathubu. Od prosince 2018 je k dispozici Steam Link pro Raspberry Pi.

Ladislav Hagara | Komentářů: 0
Vzděláváte se formou hromadných online kurzů (MOOC)?
 (60%)
 (9%)
 (1%)
 (5%)
 (25%)
Celkem 139 hlasů
 Komentářů: 0
Rozcestník

Dotaz: Mikrotik přesměrování portů do vnitří sítě

22.10.2020 10:24 ZAH | skóre: 43 | blog: ZAH
Mikrotik přesměrování portů do vnitří sítě
Přečteno: 371×
Mám vnitří síť s několika subnety jako router do vnější sítě mám mikrotik s RouterOS 6.47.4 vše vypadá normálně a funguje.

Přidával jsem testovací subnet a v něm je prozatím jeden Raspberry Pi s rasbianem . Na tomto stroji jsem potřeboval tři služby dostupných z internetu. Nastavil jsem na routru povolení k přesměrování tří portů nastavil NAT na Raspberry na příslušné porty a mám přístupný pouze SSH ostaní dva ne.

Nepřístupné jsou z internetu Grafana port 3000, a Node-Red 1880. Služby běží a jsou přístupné z ostatním subnetů vnitřní sítě. Předpokládal jsem chybu NAT nebo filtru, tak jsem v zoufalství nahradil cílový port nepřístupných služeb v NATU portem 22 SSH a hle na všech SSH běželo normálně.

Iptables v Raspberry by mělo povolovat vše.

Má někdo nějaký typ co otestovat. ZAH

Řešení dotazu:


Odpovědi

MMMMMMMMM avatar 22.10.2020 12:07 MMMMMMMMM | skóre: 43 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Chtělo by to vidět ta pravidla firewallu...
22.10.2020 20:05 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Natovaci pravidla, funguje pravidlo 17 ostatni dvě ne.

17    chain=dstnat action=dst-nat to-addresses=192.168.157.10 to-ports=22   protocol=tcp in-interface=ether1_WAN dst-port=2422 log=yes log-prefix="SSH Jahoda" 
18    chain=dstnat action=dst-nat to-addresses=192.168.157.10 to-ports=1880 protocol=tcp in-interface=ether1_WAN dst-port=2480 log=no log-prefix="" 
19    chain=dstnat action=dst-nat to-addresses=192.168.157.10 to-ports=3000 protocol=tcp in-interface=ether1_WAN dst-port=2430 log=yes log-prefix="Grafana" 

Pravidlo 19 po zapnuti logovani zapisuje.
vencour avatar 22.10.2020 20:23 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Takže jen u 17 přibývají data (bajty, pakety) ve výpisu pravidel nebo jen u 17 se dostanete na cílový server?
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
22.10.2020 16:19 j
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Pust si na tom RPI tcpdump a jdi se na to pripojit, pokud pakety nedorazi, pust si totez na tom mikrotikovi.

Pokud pakety dorazi, mas to blbe prave na tom rpi. A nemusi to byt jen firewall.

---

Dete s tim guuglem dopice!
22.10.2020 20:14 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Příloha:
V přiloze záchyt komunikace na RPI.

1. Fungující Grafana z vnitřní sítě z jiného subnetu.

2. Fungující SSH z venku

3. Související pravidla NAT

Log Mikrotiku potvrzuje provedení pravidel přesměrování. Snifer Mikrotiku potvrzuje přijem komunikace. Komunikace se ztratí někde mezi NAT routru a RPI.

Potřeboval bych nakopnout jak zachytit a filtrovat odchozí komunikaci Mikrotiku. ZAH
22.10.2020 20:31 Vantomas | skóre: 31 | Praha
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Co tam je za konektivitu? Není tam nějaký DSL? Pak bych zkusil přidat pravidlo pro snížení TCP MSS.

V opačném případě se další hádání neobejde bez komplet filter forward a nat snat pravidel.
22.10.2020 21:27 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Konektivitou to nebude sndartní wifi s veřejnou IP.

Mezitím jsem zachytil v logu toto.
	Drop uknown forward: in:ether1_WAN out:bridge1, src-mac ac:1f:6b:a5:xx:xx, proto TCP (SYN), 161.97.xxx.xxx:50620->192.168.157.10:3000, NAT 161.97.xxx.xxx:50620->(10.18.13.182:2430->192.168.157.10:3000), len 60
Předpokládal jsem že postačí povolit navázaná spojení.
13    ;;; Established WAN forward  connection
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 
23.10.2020 10:04 Vantomas | skóre: 31 | Praha
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Takže už to funguje, když jsi našel další indicii?
23.10.2020 10:58 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Bohužel ne, dostanu se k tomu až navečer. Pak budu hledat dál.
Řešení 1× (ZAH (tazatel))
23.10.2020 12:46 Vantomas | skóre: 31 | Praha
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Fajn. Nejspíš tam je problém s tím pravidlem okolo navázaných spojení a že nejsou povolená nová spojení z venku. Když jsi zkoušel měnit ta DNAT pravidla směřem na port 22 a to, že ti to ssh šlo otevřít, tak to prostě byla jen náhoda v tom, že v conntrack tabulce zůstala nějaká stará spojení a ta nová pak spadla do "related".

No a pak taky pozor na to, že dst-porty ve filteru musí být ty na které se dělá DNAT, protože po pohledu do schéma je vidět, že se nejprve prochází NAT pravidla a pak teprve FILTER.
23.10.2020 20:15 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Bingo ! . Nejprve prochází NAT, takže ve filter musí být DST port z NATU pro porty kdy, je pouze přesměrování do vnitřní sítě si to nemusíme uvědomovat.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.