Registrován: 10.01.2010
Příspěvků: 20

Zdravim,

vim ze toto tema je jiz zde nekde ulozeno, ale bohuzel se mi nedari ho vyhledat. Mohl by mi tedy nekdo poradit?

Mam RB433, myslim ze je dostatecne vykonny abych na nej mohl pripojit 2 ver ip a natovat na 2 priv. site. Muj zamer je takovy, na ether je bude ip 213.143.231.18 a 213.143.231.19, 18 bych chtel natovat na ether 2 s privatni siti 10.1.1.0/24 a 19 na 10.1.2.0/24 ether3. Mohl by mi prosim nekdo poradit? uz hledam a zkousim asi mesic a nic.

Děkuji

Registrován: 14.06.2007
Příspěvků: 117

Ahoj, SRC-NAT a action SRC-NAT a nastavíš tu adresu za kterou chceš překládat. Samozřejmě to pravidlo ještě omezíš na nějakej rozsah zdrojových adres (aby za jednu vIP se překládal jen jeden vnitřní subnet).

__________________

Registrován: 10.01.2010
Příspěvků: 20

Nasel jsem na internetu tento postup, chci se ale zeptat jestli je to spravne jestli by to nemelo byt pres v action srcnat a dstnat

ten postup je

1:1 mapping
If you want to link Public IP subnet 11.11.11.1 to local one 2.2.2.0/24, you should use destination address translation and source address translation features with action=netmap.

/ip firewall nat add chain=dstnat dst-address=11.11.11.1
action=netmap to-addresses=2.2.2.0/24

/ip firewall nat add chain=srcnat src-address=2.2.2.0/24
action=netmap to-addresses=11.11.11.1

je to spravne? ma to tak vypadat? spravne to nefuguje, nemohl by mi nekdo napsat postup ten kofigurace nat?
diky

Naposledy upravil Steevee 13.01.2010 v 10:14

Registrován: 14.06.2007
Příspěvků: 117

Nevím, jestli jsem poslední příspěvek dobře pochopil, ale pro maskování odchozího provozu za vIP se používá SRC-NAT.

__________________

Registrován: 01.10.2002
Příspěvků: 114

__________________

Registrován: 10.01.2010
Příspěvků: 20

aha diky, uz rozumim a podarilo se mi to rozjet, jeste posledni dotaz,

kdyz jsem nanatoval tu ip takto:

/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 action=src-nat \
to-addresses=231.145.21.18

fici vse, nemel bych tam ale jeste pridat ether 1 do out interface?

diky

Registrován: 14.06.2007
Příspěvků: 117

__________________

Registrován: 10.01.2010
Příspěvků: 20

aha super uz to mam nastavene diky moc

chtel jsem se jeste zeptat, chtel bych zakazat komunikaci z jedne podsite 10.1.1.0 do 10.1.2.0, bez pridani pravidla to bez problemu jde, ale kdyz vytvorim pravidlo forward scr adress 10.1.2.0/24 dst addres 10.1.1.0/24 action drop a chtel bych aby se ze site 10.1.2.0 nedostal nidko na pocitace do site 10.1.1.0 ale naopak ano tak nejde, to pravidlo asi funguje obousmerne, pripadne kdyz jsem dal pravidlo forward scradd 10.1.1.81 dst address10.1.2.0 acrtion accept a vlozim toto pravidlo pred ten drop tak se do te site stejne nedostanu, nevite jak nastavit jeste toto?

Diky

Naposledy upravil Steevee 14.01.2010 v 09:58

Registrován: 14.06.2007
Příspěvků: 117

__________________

Registrován: 10.01.2010
Příspěvků: 20

jj presne tak, kdyby jsi me mohl trochu nakopnout byl bych Ti moc vděčný

Registrován: 14.06.2007
Příspěvků: 117

Z které sítě má být vidět do té druhé ? Resp. z kterého rozhraní na které ?

__________________

Registrován: 10.01.2010
Příspěvků: 20

ze site 10.1.1.0(ether3 ) se chci dostat do site 10.1.2.0(ether2) a ze site 10.1.2.0 se nesmi dat dostat do site 10.1.1.0, ether 1 je pak privod internetu

Registrován: 25.01.2004
Příspěvků: 498

no, z hlediska protokolu, můžeš zakázat z jedný sítě navazovat spojení a z druhý ho povolit. Pak by to mělo fungovat že z jendý navážeš a komunikuješ a z druhý ani nenavážeš takže nekomunikuješ.

__________________

Registrován: 10.01.2010
Příspěvků: 20

Ve firewallu? mohl by jsi mi nastinit jak?

Registrován: 14.06.2007
Příspěvků: 117

Za půl hodinky jedu dom, tak ti to splácam ...

__________________

Registrován: 19.03.2003
Příspěvků: 1214

Je nekaly duvod aby to neslo udelat pomoci Masquarade v MK 3.x?

__________________