Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit Mikrotik src-nat

Frage Netzwerke Router & Routing

Mitglied: dadaniel

dadaniel (Level 1) - Jetzt verbinden

22.01.2014 um 11:27 Uhr, 1620 Aufrufe, 3 Kommentare

Ich habe für die Internetverbindung meines LANs folgende Firewall-Regel angelegt:

/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.0.0/24 to-addresses=123.123.123.111

"to-addresses=123.123.123.111" deshalb, weil ich mehrere offizielle IPs habe.

Mein Problem ist nun, dass andere Geräte mit 123.123.123.xxx Adressen direkt auf 192.168.0.x zugreifen können. Das sollen sie aber nur über die 123.123.123.111 und deren dst-nat Regeln (Port Forwarding) können.

Was fehlt mir hier?


Wenn ich eine zusätzliche Regel mit "chain=forward action=drop dst-address=192.168.0.0/24" anlege funktioniert die Internetverbindung nicht mehr...
Mitglied: dadaniel
22.01.2014, aktualisiert um 12:55 Uhr
Ich hab das genau so aufgebaut wie in den von dir verlinkten Wiki-Seiten...Leider wird mein Problem dort mit keiner Silbe erwähnt.

Nochmal zur verdeutlichung anhand der Router-Logs:

das ist OK, weil geNATed wird:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:0c:29:xx:xx:xx, proto TCP (ACK,PSH), 123.123.123.100:143->192.168.0.171:50681, NAT 123.123.123.100:143->(123.123.123.111:50681->192.168.0.171:50681), len 50

das aber nicht, weil direkt ohne NAT zugegriffen werden kann:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:1b:fc:xx:xx:xx, proto TCP (SYN), 123.123.123.101:49186->192.168.0.111:445, len 52


Ich bräuchte somit eine Firewall-Regel die alles ohne NAT Kennzeichnung blockiert, nur ich finde irgendwie nix
Bitte warten ..
Mitglied: dadaniel
23.01.2014, aktualisiert um 08:30 Uhr
Ich habe jetzt einen Tipp bekommen,

chain=forward action=accept connection-state=related dst-address=192.168.0.0/24
chain=forward action=accept connection-state=established dst-address=192.168.0.0/24
chain=forward action=drop dst-address=192.168.0.0/24

einzufügen.

Das funktioniert zwar für TCP-Pakete, aber korrekt genattete UDP Pakete werden so auch verworfen, weil UDP ja verbindungslos ist...


Hat jemand eine Idee?
Bitte warten ..
Ähnliche Inhalte
Voice over IP
gelöst FritzBox 7490 hinter Mikrotik Routerboard NAT, kein VoiIP (18)

Frage von toby97897 zum Thema Voice over IP ...

Voice over IP
VoIP über Mikrotik NAT. Klingeln JA, Gespräch NEIN?! (8)

Frage von twiceface zum Thema Voice over IP ...

Router & Routing
gelöst Mikrotik Switching und Routing Problem (11)

Frage von aqui zum Thema Router & Routing ...

Router & Routing
gelöst Mikrotik CCR1036 IPSec UDP NAT Abbrüche PCoIP VDI (2)

Frage von nahdeka zum Thema Router & Routing ...

Neue Wissensbeiträge
Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(5)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Viren und Trojaner

Neue Magazin Ausgabe: Malware und Angriffe abwehren

Information von Frank zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Batch & Shell
gelöst Batch um Benutzer aus Sitzung abzumelden (15)

Frage von zeroblue2005 zum Thema Batch & Shell ...

Linux
gelöst Google Chrome startet nicht (12)

Frage von Thomas91 zum Thema Linux ...

LAN, WAN, Wireless
IP Sec Client legt Netzwerkkarte lahm (11)

Frage von mario87 zum Thema LAN, WAN, Wireless ...