• 0
H_U_L_K

Блокировка ИП адреса (DSM не видит реальный ип подключения)

Question

Сабж.

Раньше было всё равно, но повадился кто-то ломиться на DSM под учёткой админа (которая конечно же отключена).

Вычислить откуда ноги растут не получается, ибо:

123.jpg

Ибо ип адресс фиксируется как внутренний адрес роутера (микротик). И все подключения из вне сервер видит как подключения с роутера.

В локалке всё ок - видит локальный ип адресс.

На микротике есть правила фаервола (в основном стандарт, запрещены внешние подключения, и т.д.), отключен upnp, но проброшены нужные порты.

нат - маскарадинг.

Сам подключаюсь без проблем, всё что нужно работает.

Но почему у всех отображается реальный внешний ип адрес, а я никак не могу побороть это? Может это связано с настройкой самой дсм?

Или может у кого тоже микротик и знает что нужно подправить?

 

 

Share this post


Link to post
Share on other sites

15 answers to this question

Recommended Posts

  • 0
On 11/25/2018 at 12:31 AM, H_U_L_K said:

Может это связано с настройкой самой дсм?

убеждён, что это исключено.

мне кажется, что дело в настройках  роутера.

On 11/25/2018 at 12:31 AM, H_U_L_K said:

Сам подключаюсь без проблем

а ты сам когда подключаешься - какие IP-адреса в логах? настоящие, или этот же 192.168.0.1 ?

Share this post


Link to post
Share on other sites
  • 0
В 25.11.2018 в 00:31, H_U_L_K сказал:

Или может у кого тоже микротик и знает что нужно подправить?

Скорее всего, либо настройка, либо особенность.

 

P.S. Поспрашивайте на профильном форуме микротика.

Edited by Olegin

Share this post


Link to post
Share on other sites
  • 0
7 hours ago, H_U_L_K said:

Если из вне то тот же 192.168.0.1

ну вот и ответ на вопрос.

значит микротик подменяет входящий IP на собственный внутренний адрес.

полторы минуты гугла:

Quote

Нужно ОБЯЗАТЕЛЬНО указывать на маскараде out interface... вот тогда микротик перестал подменять...на локальный(шлюзовый айпи)

отсюда: forummikrotik.ru : NAT. Внешний ip адрес

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, nvrsk сказал:

ну вот и ответ на вопрос.

значит микротик подменяет входящий IP на собственный внутренний адрес.

полторы минуты гугла:

отсюда: forummikrotik.ru : NAT. Внешний ip адрес

Так и думал в принципе, что дело в правиле маскарада.

Завтра попробую прописать бридж в out interface, и затестить.

Share this post


Link to post
Share on other sites
  • 0

Таки да, в маскараде указал "out interface" (Порт, по которому приходит инет (или pppoe и т.п.) и всё поехало как надо.

 

пс: рано радовались. При указании out interface девайсы в локальной сети перестали попадать на NAS (по внешнему ип адресу, или по доменному имени).

Edited by H_U_L_K

Share this post


Link to post
Share on other sites
  • 0
7 часов назад, H_U_L_K сказал:

При указании out interface девайсы в локальной сети перестали попадать на NAS (по внешнему ип адресу, или по доменному имени).

Теперь осталось изучить Hairpin NAT

https://wiki.mikrotik.com/wiki/Hairpin_NAT

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, conrad66 сказал:

Теперь осталось изучить Hairpin NAT

https://wiki.mikrotik.com/wiki/Hairpin_NAT

Легко Вам говорить...

Фиг его знает что это такое и с чем его едят. Прочитал и понял что не понял нифига. 

 

Для теста поставил вместо микротика асус rt-n66u b1, на нём ип адреса показываються как надо. С отключенным upnp и пробношенными необходимыми портами.

Почему на микротике это всё через костыли?... (Вопрос риторический).

Оставлять асус как-то не хочеться, все же к микротику уже привык.

Share this post


Link to post
Share on other sites
  • 0
11 час назад, H_U_L_K сказал:

Прочитал и понял что не понял нифига. 

 Поиск в яндексе по слову Hairpin NAT дает вагон и маленькую тележку ссылок на великом и могучем с пояснениями и картиками и т.д.

Edited by conrad66

Share this post


Link to post
Share on other sites
  • 0
12 hours ago, H_U_L_K said:

Почему на микротике это всё через костыли?

WinBox'ом настраиваешь?

IP -> Firewall -> NAT, и там уже правила проброса.

вот как-то так выглядит проброс порта 4665 у меня в локалке:

1485164539_.thumb.png.2d75cb1af85778ad0c1c91afe5225971.png

Share this post


Link to post
Share on other sites
  • 0
В 28.11.2018 в 14:21, nvrsk сказал:

WinBox'ом настраиваешь?

IP -> Firewall -> NAT, и там уже правила проброса.

вот как-то так выглядит проброс порта 4665 у меня в локалке:

 

Winbox*ом. Но у меня немного не так проброшено было.

В general я слушал не интерфейс, а статический ип адрес.

В action у меня не netmap, а dst-nat.

Но сути это не меняет, не работает ни так, ни так.

Share this post


Link to post
Share on other sites
  • 0
В 28.11.2018 в 13:32, conrad66 сказал:

 Поиск в яндексе по слову Hairpin NAT дает вагон и маленькую тележку ссылок на великом и могучем с пояснениями и картиками и т.д.

Та да... Буду читать.

асус rt-n66u b1 не впечатлил, хоть и работает всё отлично.

Share this post


Link to post
Share on other sites
  • 0

Защита от брутфорса на MikroTik

Логика тут проста до безобразия — есть несколько шагов, для добавления IP адреса атакующего в бан. Каждый шаг — по сути, попытка подключения. Дается 4 попытки подключения, с максимальным интервалом по минуте, между попытками, если они привышены, адрес попадает в блэк лист. На 1 день.


 

/ip firewall filter

add chain=input protocol=tcp dst-port=5000 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no
 
add chain=input protocol=tcp dst-port=5000 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1d comment="" disabled=no
 
add chain=input protocol=tcp dst-port=5000 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no
 
add chain=input protocol=tcp dst-port=5000 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
 
add chain=input protocol=tcp dst-port=5000 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

У меня на 5001 порту, работает перебор паролей 3  попытки и пока в бан лист...

 

Ссылка на автора..

 

 

aCAAgWKtbgI.jpg

Edited by asterixd
текст

Share this post


Link to post
Share on other sites
  • 0

Я это читал, идея в том что бы микротик блочил ип адресс, который обращаеться на порт.

Но в таком случае все блоченый еп адреса будут видны только на микротике, и из вне я этого не увижу (внешка у микротика полностью закрыта).

Разве что городить впн средствами микротика в нестандартный порт.

Share this post


Link to post
Share on other sites
  • 0

К стати. Всё оказалось гораздо проще.

В правиле маскарадинга не был прописан внутренний пул адресов.

Добавил и всё стало работать правильно.

Вопрос решен.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.