AbcLinuxu:/ Poradna / Hardwarová poradna / Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

Štítky: Apache, DHCP, firewall, Internet, LAN, Linux, mikrotik, modem, NAT, PPP, router, server, sítě, source, switch, tom, UFW

Dotaz: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

15.7.2019 16:54 googler | skóre: 6
Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

Přečteno: 395×

Odpovědět | Admin

Caute
Sorry ze stale otravujem ale mam linux webserver na nom mam nainstalovany apache a firewall UFW - Povolene porty 80 a 443 (skusal som aj vypnut firewall ale nepomohlo to).

Na mikrotiku pouzivam PPP klienta (premenovany na WAN) pre pripojenie cez DSL Telekom a modem je v rezime bridge
Dalej som na mikrotiku v tom rychlom sprievodcovi zaklikol NAT aby nebolo "vidiet" z vonku do lokalnej siete
Okrem portu Eth1 mam vsetky porty prebridgovane a nazov bridgeu je LAN
V porte Eth2 mam zapojeny switch a v nom vsetky koncove zariadenia a AP
Mam zapnuty DHCP server
Pravidla firewallu na mikrotiku vyzeraju takto (aj tie som skusal vypnut nepomohlo):

[code]ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; Accept established and related packets
chain=input action=accept connection-state=established,related log=no log-prefix=""

1    ;;; Accept all connections from local network
chain=input action=accept in-interface=LAN log=no log-prefix=""

2    ;;; Accept established and related packets
chain=forward action=accept connection-state=established,related log=no log-prefix=""

3    ;;; Drop invalid packets
chain=input action=drop connection-state=invalid log=yes log-prefix=""

4    ;;; Drop all packets which are not destined to routes IP address
chain=input action=drop dst-address-type=!local log=yes log-prefix=""

5    ;;; Drop all packets which does not have unicast source IP address
chain=input action=drop src-address-type=!unicast log=yes log-prefix=""

6    ;;; Drop all packets from public internet which should not exist in public network
chain=input action=drop src-address-list=NotPublic in-interface=WAN log=yes log-prefix=""

7    ;;; Drop invalid packets
chain=forward action=drop connection-state=invalid log=yes log-prefix=""

8    ;;; Drop new connections from internet which are not dst-natted
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN log=yes log-prefix=""

9    ;;; Drop all packets from public internet which should not exist in public network
chain=forward action=drop src-address-list=NotPublic in-interface=WAN log=yes log-prefix=""

10    ;;; Drop all packets from local network to internet which should not exist in public network
chain=forward action=drop dst-address-list=NotPublic in-interface=LAN log=yes log-prefix=""

11    ;;; Drop all packets in local network which does not have local network address
chain=forward action=drop src-address=!router.lan.ip.0/24 in-interface=LAN log=yes log-prefix=""

12    ;;; Drop new connections from internet which are not dst-natted
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN log=yes log-prefix="" [/code]

NAT (forwarding portov) vyzera takto:

[code]/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0    chain=srcnat action=masquerade src-address=router.lan.ip.0/24 out-interface=WAN log=no log-prefix=""

1    chain=dstnat action=dst-nat to-addresses=apache.webserver.lan.ip to-ports=80 protocol=tcp dst-address=router.lan.ip in-interface=WAN dst-port=80 log=no log-prefix=""

2    chain=dstnat action=dst-nat to-addresses=apache.webserver.lan.ip to-ports=443 protocol=tcp dst-address=router.lan.ip in-interface=WAN dst-port=443 log=no log-prefix="" [/code]

skusal som aj alternativu nastavenia dst-address priamo na verejnu IP routera ale ani to nepomohlo

vysledok je taky ze v ramci lan je apache pristupny ale neviem preco nepocuva aj na verejnej IP? Myslim ze pricina bude v mikrotiku a nie vo webservery aj ked neviem presne kde v mikrotiku.

Řešení dotazu:

Komentář #5 (googler, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

15.7.2019 17:00 NN
Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

nemela by tam byt uvedena nahodou WAN IP adresa routeru?

dst-address=router.lan.ip in-interface=WAN

15.7.2019 17:21 googler | skóre: 6
Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

V predposlednej vete prveho prispevku som napisal "skusal som aj alternativu nastavenia dst-address priamo na verejnu IP routera ale ani to nepomohlo"

15.7.2019 17:38 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

- ma webserver nastavenu branu?

- skusal si na nom pustit tcdpump?

- skusal si pozriet do MKT logov?

- osobne nemam rad pravidla typu "connection-nat-state=dstnat", ale radsej si implicitne povolim porty - je to prehladnejsie a jasnejsie

- vzhladom na tu predposlednu vetu asi velmi nevies, co robis, tak mozno by bolo lepsie si to nastudovat

15.7.2019 19:35 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

A máš na 100% veřejnou IP?

Pokud vím tak veřejné IPv4 došly a nasyslené se poskytují většinou za peníze.

Jinak přes IPv6 to funguje?

Pokud modem použiješ jako modem a server připojíš přímo k němu tak to funguje? (Aby jsi vyloučil chybu v nastavení mikrotiku.)

Řešení 1× (MMMMMMMMM)

15.7.2019 20:30 googler | skóre: 6
Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

Uz to ide reklamoval som to u ISP a problem bol u nich. Sorry za "poplach". BTW ako dst address treba naozaj pouzit WAN IP mikrotiku. BTW2 Ano za staticku verejnu ip si priplacam

16.7.2019 23:24 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

PS. To s tou veřejnou IPv4 nebylo myšleno špatně, hromada lidí koukne na mojeip a myslí si že má veřejnou IP.

Jinak já veřejné IPv4 nemusím co to jde používám IPv6.

15.7.2019 22:53 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

1) spousta FW pravidel je naprosto zbytečných
2) jak už bylo řečeno, pravidla s natem jsou špatná a osobně když dělám nat, tak ani nedefinuji IP (to kvůli tomu, kdyby došlo k její změně, tak abych nemusel předělávat i všechny pravidla), prostě :

 chain=dstnat action=dst-nat to-ports=80 protocol=tcp dst-address=ApacheIP in-interface=WAN dst-port=80 log=yes log-prefix="_NAT80_"

3) zapni si logování na tom nat pravidlu, aby jsi viděl, zda tam to spojení doputuje (viz příklad výše)
Pokud to nebude nic logovat, je to jasné, blokuje se to někde před tvým routerem.
Zdar Max

Měl jsem sen ... :(

15.7.2019 23:11 V.
Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

Jj, když tak doporučuju ověřit chování podle toho, jak by měly chodit pakety - https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Založit nové vlákno • Nahoru

Tiskni Sdílej: