█ 13.02.2017 14:44
Что есть:
1. Микротик
2. порт на WAN скажем 9999 который нужно пробросить.
3. Пробросить его нужно на порт другого компьютера с сети интерент... не в локалке... повторяю не в локалке...
т.е. грубо
порт 9999
локалка 192.168.0.1\24
ван 88.88.88.88
пробросить нужно на
77.77.77.77
т.е. я попой то понимаю что это не нат...
вот только понять не могу в какую сторону копать...
netmap естественно не работает..
1. Микротик
2. порт на WAN скажем 9999 который нужно пробросить.
3. Пробросить его нужно на порт другого компьютера с сети интерент... не в локалке... повторяю не в локалке...
т.е. грубо
порт 9999
локалка 192.168.0.1\24
ван 88.88.88.88
пробросить нужно на
77.77.77.77
т.е. я попой то понимаю что это не нат...
вот только понять не могу в какую сторону копать...
netmap естественно не работает..
█ 13.02.2017 14:55
Ты бы лучше обрисовал, что именно хочешь сделать в целом. Сдается, что городишь какой-то страшный костыль.
Не очень понял, к чему ты помянул локалку... Порт на WAN или в локалке?
Я так понимаю, что ты говоришь о NAT, точнее DNAT (dstnat у Mikrotik). Оно?
Не очень понял, к чему ты помянул локалку... Порт на WAN или в локалке?
Я так понимаю, что ты говоришь о NAT, точнее DNAT (dstnat у Mikrotik). Оно?
█ 13.02.2017 14:58
Я правильно понимаю, что на самом деле задача в том, что бы в 77.77.77.77 увидеть, что обращение идёт от 88.88.88.88, а не от реального клиента?
В таком случае - а почему бы Mikrotik-у не побыть VPN-сервером?
В таком случае - а почему бы Mikrotik-у не побыть VPN-сервером?
█ 13.02.2017 14:59
Цитата:
есть сервис... критичный... сервак нужно забирать в ремонт... OlegON ➤ Ты бы лучше обрисовал, что именно хочешь сделать в целом. Сдается, что городишь какой-то страшный костыль.
Не очень понял, к чему ты помянул локалку... Порт на WAN или в локалке?
Я так понимаю, что ты говоришь о NAT, точнее DNAT (dstnat у Mikrotik). Оно?
Не очень понял, к чему ты помянул локалку... Порт на WAN или в локалке?
Я так понимаю, что ты говоришь о NAT, точнее DNAT (dstnat у Mikrotik). Оно?
куча оборудования настроена на данный айпи...
перенастройка займет полгода и 1000 человека часов...
нужно с микротиком пробросить порт на мой сервак в датацентре на время ремонта глючной айбиэмосвкой железки...
█ 13.02.2017 15:02
Цитата:
нет... пофиг откуда и что.. главное чтобы работало.. и стабильно.... KirillHome ➤ Я правильно понимаю, что на самом деле задача в том, что бы в 77.77.77.77 увидеть, что обращение идёт от 88.88.88.88, а не от реального клиента?
Цитата:
ну.... кстати как мысль... но давай это оставим на крайний случий.. KirillHome ➤ В таком случае - а почему бы Mikrotik-у не побыть VPN-сервером?
хотя за идею спасибо...
█ 13.02.2017 15:14
пробрасывай и НАТь через себя. иначе ответы поедут не чрез тебя а напрямую. Клиент их выкинет...
█ 13.02.2017 15:18
Цитата:
То есть - есть миллион клиентов, которые обращаются по адресу 77.77.77.77:9999 (твой старый адрес и порт старой службы), есть "новый адрес" 88.88.88.88, на котором на этом порту можно поднять ту же самую службу. baggio ➤ есть сервис... критичный... сервак нужно забирать в ремонт...
куча оборудования настроена на данный айпи...
перенастройка займет полгода и 1000 человека часов...
нужно с микротиком пробросить порт на мой сервак в датацентре на время ремонта глючной айбиэмосвкой железки...
куча оборудования настроена на данный айпи...
перенастройка займет полгода и 1000 человека часов...
нужно с микротиком пробросить порт на мой сервак в датацентре на время ремонта глючной айбиэмосвкой железки...
Вообще - быстрый гуглёж находит, к примеру (полуработающее решение - "пакеты убегают и не возвращаются")
Код:
/ip firewall nat add chain=dstnat dst-port=<какой нужен порт> action=netmap to-addresses=11.11.11.16 port=<нужный порт>
Цитата:
я настраивал тока DST-NAT + Netmap когда мне надо было запросы из вне на роутер перенаправить на другой сервер в инете
█ 13.02.2017 15:40
Без микротика, но с виртуальным сервером
Цитата:
может кому то поможет:
За сам проброс отвечает iptables, соответсвенно правила для проброса следующие:
iptables -t nat -A PREROUTING -p tcp --dst x.x.x.x --dport 3389 -j DNAT --to-destination y.y.y.y:3389
iptables -t nat -A POSTROUTING -p tcp --dst y.y.y.y --dport 3389 -j SNAT --to-source x.x.x.x
Где :
x.x.x.x — ip адрес виртуального сервера с iptables
y.y.y.y — ip адрес терминального сервера заказчика
Т.к. правила в iptables живут до перезагрузки нам нужно сделать скрипт и заставить его запускаться при старте системы.
1) создаем сам файл port_forward:
vi /etc/init.d/port_forward и вставляем следующее содержание:
#!/bin/bash
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -A PREROUTING -p tcp --dst x.x.x.x --dport 3389 -j DNAT --to-destination y.y.y.y:3389
iptables -t nat -A POSTROUTING -p tcp --dst y.y.y.y --dport 3389 -j SNAT --to-source x.x.x.x
2) даем данному файлу права запуска:
chmod 755 /etc/init.d/port_forward
3) добавляем данный файл в автозагрузку:
cp -s /etc/init.d/port_forward /etc/rc3.d/S90port_forward
И перезагружаем виртуальный сервер — теперь терминальным клиентам остается только прописать в адресе подключения адрес x.x.x.x и их прозрачно будет перенаправлять на сервер y.y.y.y
Добавлю, что при работе на терминальном сервере в верху экрана (где пишется адрес, куда мы подключились) отображается адрес x.x.x.x
На самом терминальном сервере в рамках задачи тоже нужно сделать ряд ограничений, но это выходит за рамки данной заметки.
За сам проброс отвечает iptables, соответсвенно правила для проброса следующие:
iptables -t nat -A PREROUTING -p tcp --dst x.x.x.x --dport 3389 -j DNAT --to-destination y.y.y.y:3389
iptables -t nat -A POSTROUTING -p tcp --dst y.y.y.y --dport 3389 -j SNAT --to-source x.x.x.x
Где :
x.x.x.x — ip адрес виртуального сервера с iptables
y.y.y.y — ip адрес терминального сервера заказчика
Т.к. правила в iptables живут до перезагрузки нам нужно сделать скрипт и заставить его запускаться при старте системы.
1) создаем сам файл port_forward:
vi /etc/init.d/port_forward и вставляем следующее содержание:
#!/bin/bash
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -A PREROUTING -p tcp --dst x.x.x.x --dport 3389 -j DNAT --to-destination y.y.y.y:3389
iptables -t nat -A POSTROUTING -p tcp --dst y.y.y.y --dport 3389 -j SNAT --to-source x.x.x.x
2) даем данному файлу права запуска:
chmod 755 /etc/init.d/port_forward
3) добавляем данный файл в автозагрузку:
cp -s /etc/init.d/port_forward /etc/rc3.d/S90port_forward
И перезагружаем виртуальный сервер — теперь терминальным клиентам остается только прописать в адресе подключения адрес x.x.x.x и их прозрачно будет перенаправлять на сервер y.y.y.y
Добавлю, что при работе на терминальном сервере в верху экрана (где пишется адрес, куда мы подключились) отображается адрес x.x.x.x
На самом терминальном сервере в рамках задачи тоже нужно сделать ряд ограничений, но это выходит за рамки данной заметки.
█ 13.02.2017 17:46
Цитата:
не работает.... KirillHome ➤ То есть - есть миллион клиентов, которые обращаются по адресу 77.77.77.77:9999 (твой старый адрес и порт старой службы), есть "новый адрес" 88.88.88.88, на котором на этом порту можно поднять ту же самую службу.
Вообще - быстрый гуглёж находит, к примеру (полуработающее решение - "пакеты убегают и не возвращаются")
Ну, и также пишут следующее
Вообще - быстрый гуглёж находит, к примеру (полуработающее решение - "пакеты убегают и не возвращаются")
Код:
/ip firewall nat add chain=dstnat dst-port=<какой нужен порт> action=netmap to-addresses=11.11.11.16 port=<нужный порт>
в логах... подключение по старому адресу 77.77.77.77:9999
но не слова о том что оно ушло на 88.88.88.88
по ходу действительно натить как то придется...
█ 13.02.2017 17:48
Цитата:
тут как бы проброс через 2 интерфейса...
классический нат...
а мне нужно как то с одним извернуться...
Часовой пояс GMT +3, время: 22:41.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.