Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit Mikrotik src-nat

Frage Netzwerke Router & Routing

Mitglied: dadaniel

dadaniel (Level 1) - Jetzt verbinden

22.01.2014 um 11:27 Uhr, 1603 Aufrufe, 3 Kommentare

Ich habe für die Internetverbindung meines LANs folgende Firewall-Regel angelegt:

/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.0.0/24 to-addresses=123.123.123.111

"to-addresses=123.123.123.111" deshalb, weil ich mehrere offizielle IPs habe.

Mein Problem ist nun, dass andere Geräte mit 123.123.123.xxx Adressen direkt auf 192.168.0.x zugreifen können. Das sollen sie aber nur über die 123.123.123.111 und deren dst-nat Regeln (Port Forwarding) können.

Was fehlt mir hier?


Wenn ich eine zusätzliche Regel mit "chain=forward action=drop dst-address=192.168.0.0/24" anlege funktioniert die Internetverbindung nicht mehr...
Mitglied: dadaniel
22.01.2014, aktualisiert um 12:55 Uhr
Ich hab das genau so aufgebaut wie in den von dir verlinkten Wiki-Seiten...Leider wird mein Problem dort mit keiner Silbe erwähnt.

Nochmal zur verdeutlichung anhand der Router-Logs:

das ist OK, weil geNATed wird:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:0c:29:xx:xx:xx, proto TCP (ACK,PSH), 123.123.123.100:143->192.168.0.171:50681, NAT 123.123.123.100:143->(123.123.123.111:50681->192.168.0.171:50681), len 50

das aber nicht, weil direkt ohne NAT zugegriffen werden kann:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:1b:fc:xx:xx:xx, proto TCP (SYN), 123.123.123.101:49186->192.168.0.111:445, len 52


Ich bräuchte somit eine Firewall-Regel die alles ohne NAT Kennzeichnung blockiert, nur ich finde irgendwie nix
Bitte warten ..
Mitglied: dadaniel
23.01.2014, aktualisiert um 08:30 Uhr
Ich habe jetzt einen Tipp bekommen,

chain=forward action=accept connection-state=related dst-address=192.168.0.0/24
chain=forward action=accept connection-state=established dst-address=192.168.0.0/24
chain=forward action=drop dst-address=192.168.0.0/24

einzufügen.

Das funktioniert zwar für TCP-Pakete, aber korrekt genattete UDP Pakete werden so auch verworfen, weil UDP ja verbindungslos ist...


Hat jemand eine Idee?
Bitte warten ..
Neuester Wissensbeitrag
Exchange Server

WSUS bietet CU22 für Exchange 2007 SP3 nicht an. EOL Exchange 2007

Tipp von DerWoWusste zum Thema Exchange Server ...

Ähnliche Inhalte
Voice over IP
gelöst FritzBox 7490 hinter Mikrotik Routerboard NAT, kein VoiIP (18)

Frage von toby97897 zum Thema Voice over IP ...

Router & Routing
gelöst Problem mit 2 NAT (5)

Frage von mzda1234 zum Thema Router & Routing ...

Router & Routing
Sonicwall NAT-Problem

Frage von SuperAggy zum Thema Router & Routing ...

Router & Routing
gelöst D-NAT auf Mikrotik (11)

Frage von 118080 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst Batch xls nach aktuellem Datum auslesen und email senden (14)

Frage von michi-ffm zum Thema Batch & Shell ...

Backup
Datensicherung ARCHIV (12)

Frage von fautec56 zum Thema Backup ...

LAN, WAN, Wireless
Per Script auf UniFi-controller zugreifen und WPA2-Key ändern (11)

Frage von Winfried-HH zum Thema LAN, WAN, Wireless ...