Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit Mikrotik src-nat

Frage Netzwerke Router & Routing

Mitglied: dadaniel

dadaniel (Level 1) - Jetzt verbinden

22.01.2014 um 11:27 Uhr, 1714 Aufrufe, 3 Kommentare

Ich habe für die Internetverbindung meines LANs folgende Firewall-Regel angelegt:

/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.0.0/24 to-addresses=123.123.123.111

"to-addresses=123.123.123.111" deshalb, weil ich mehrere offizielle IPs habe.

Mein Problem ist nun, dass andere Geräte mit 123.123.123.xxx Adressen direkt auf 192.168.0.x zugreifen können. Das sollen sie aber nur über die 123.123.123.111 und deren dst-nat Regeln (Port Forwarding) können.

Was fehlt mir hier?


Wenn ich eine zusätzliche Regel mit "chain=forward action=drop dst-address=192.168.0.0/24" anlege funktioniert die Internetverbindung nicht mehr...
Mitglied: dadaniel
22.01.2014, aktualisiert um 12:55 Uhr
Ich hab das genau so aufgebaut wie in den von dir verlinkten Wiki-Seiten...Leider wird mein Problem dort mit keiner Silbe erwähnt.

Nochmal zur verdeutlichung anhand der Router-Logs:

das ist OK, weil geNATed wird:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:0c:29:xx:xx:xx, proto TCP (ACK,PSH), 123.123.123.100:143->192.168.0.171:50681, NAT 123.123.123.100:143->(123.123.123.111:50681->192.168.0.171:50681), len 50

das aber nicht, weil direkt ohne NAT zugegriffen werden kann:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:1b:fc:xx:xx:xx, proto TCP (SYN), 123.123.123.101:49186->192.168.0.111:445, len 52


Ich bräuchte somit eine Firewall-Regel die alles ohne NAT Kennzeichnung blockiert, nur ich finde irgendwie nix
Bitte warten ..
Mitglied: dadaniel
23.01.2014, aktualisiert um 08:30 Uhr
Ich habe jetzt einen Tipp bekommen,

chain=forward action=accept connection-state=related dst-address=192.168.0.0/24
chain=forward action=accept connection-state=established dst-address=192.168.0.0/24
chain=forward action=drop dst-address=192.168.0.0/24

einzufügen.

Das funktioniert zwar für TCP-Pakete, aber korrekt genattete UDP Pakete werden so auch verworfen, weil UDP ja verbindungslos ist...


Hat jemand eine Idee?
Bitte warten ..
Ähnliche Inhalte
Voice over IP
VoIP über Mikrotik NAT. Klingeln JA, Gespräch NEIN?! (8)

Frage von twiceface zum Thema Voice over IP ...

Router & Routing
gelöst Mikrotik Switching und Routing Problem (11)

Frage von aqui zum Thema Router & Routing ...

Router & Routing
Lancom Router NAT (7)

Frage von Brian85 zum Thema Router & Routing ...

MikroTik RouterOS
gelöst Wie MikroTik retten? (25)

Frage von McLion zum Thema MikroTik RouterOS ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(14)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Windows Server
Kennwort vergessen bei Hyper vserver 2012r (12)

Frage von jensgebken zum Thema Windows Server ...

Linux Desktop
Bildschirmauflösung unter Linux festlegen (12)

Frage von itebob zum Thema Linux Desktop ...

Windows Userverwaltung
gelöst Administrator hat alle Rechte verloren (10)

Frage von mrdead zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Gebäude mit WLAN ausstatten (9)

Frage von udobec zum Thema LAN, WAN, Wireless ...