3
Problem mit Mikrotik src-nat
Ich habe für die Internetverbindung meines LANs folgende Firewall-Regel angelegt:
/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.0.0/24 to-addresses=123.123.123.111
"to-addresses=123.123.123.111" deshalb, weil ich mehrere offizielle IPs habe.
Mein Problem ist nun, dass andere Geräte mit 123.123.123.xxx Adressen direkt auf 192.168.0.x zugreifen können. Das sollen sie aber nur über die 123.123.123.111 und deren dst-nat Regeln (Port Forwarding) können.
Was fehlt mir hier?
Wenn ich eine zusätzliche Regel mit "chain=forward action=drop dst-address=192.168.0.0/24" anlege funktioniert die Internetverbindung nicht mehr...
/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.0.0/24 to-addresses=123.123.123.111
"to-addresses=123.123.123.111" deshalb, weil ich mehrere offizielle IPs habe.
Mein Problem ist nun, dass andere Geräte mit 123.123.123.xxx Adressen direkt auf 192.168.0.x zugreifen können. Das sollen sie aber nur über die 123.123.123.111 und deren dst-nat Regeln (Port Forwarding) können.
Was fehlt mir hier?
Wenn ich eine zusätzliche Regel mit "chain=forward action=drop dst-address=192.168.0.0/24" anlege funktioniert die Internetverbindung nicht mehr...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 227389
Url: https://administrator.de/contentid/227389
Printed on: April 24, 2024 at 13:04 o'clock
3 Comments
Latest comment
Hier mal reingesehen:
http://wiki.mikrotik.com/wiki/NAT_Tutorial
und
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
http://wiki.mikrotik.com/wiki/NAT_Tutorial
und
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
Ich hab das genau so aufgebaut wie in den von dir verlinkten Wiki-Seiten...Leider wird mein Problem dort mit keiner Silbe erwähnt.
Nochmal zur verdeutlichung anhand der Router-Logs:
das ist OK, weil geNATed wird:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:0c:29:xx:xx:xx, proto TCP (ACK,PSH), 123.123.123.100:143->192.168.0.171:50681, NAT 123.123.123.100:143->(123.123.123.111:50681->192.168.0.171:50681), len 50
das aber nicht, weil direkt ohne NAT zugegriffen werden kann:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:1b:fc:xx:xx:xx, proto TCP (SYN), 123.123.123.101:49186->192.168.0.111:445, len 52
Ich bräuchte somit eine Firewall-Regel die alles ohne NAT Kennzeichnung blockiert, nur ich finde irgendwie nix
Nochmal zur verdeutlichung anhand der Router-Logs:
das ist OK, weil geNATed wird:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:0c:29:xx:xx:xx, proto TCP (ACK,PSH), 123.123.123.100:143->192.168.0.171:50681, NAT 123.123.123.100:143->(123.123.123.111:50681->192.168.0.171:50681), len 50
das aber nicht, weil direkt ohne NAT zugegriffen werden kann:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:1b:fc:xx:xx:xx, proto TCP (SYN), 123.123.123.101:49186->192.168.0.111:445, len 52
Ich bräuchte somit eine Firewall-Regel die alles ohne NAT Kennzeichnung blockiert, nur ich finde irgendwie nix
Ich habe jetzt einen Tipp bekommen,
chain=forward action=accept connection-state=related dst-address=192.168.0.0/24
chain=forward action=accept connection-state=established dst-address=192.168.0.0/24
chain=forward action=drop dst-address=192.168.0.0/24
einzufügen.
Das funktioniert zwar für TCP-Pakete, aber korrekt genattete UDP Pakete werden so auch verworfen, weil UDP ja verbindungslos ist...
Hat jemand eine Idee?
chain=forward action=accept connection-state=related dst-address=192.168.0.0/24
chain=forward action=accept connection-state=established dst-address=192.168.0.0/24
chain=forward action=drop dst-address=192.168.0.0/24
einzufügen.
Das funktioniert zwar für TCP-Pakete, aber korrekt genattete UDP Pakete werden so auch verworfen, weil UDP ja verbindungslos ist...
Hat jemand eine Idee?
