V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
oneone1995
V2EX  ›  宽带症候群

求 ROS NAT 设置指点

  •  
  •   oneone1995 · 294 天前 · 2190 次点击
    这是一个创建于 294 天前的主题,其中的信息可能已经有所发展或是发生改变。

    因为开了群晖的端口到公网,突然发现登不上了。后来发现进来的地址都是路由器的地址 192.168.88.1 ,很多爆破登录的导致 ip 被封禁了。。 查了资料后发现很多帖子都是让设置 masq 的 out.interface 为 !LAN 或者 WAN 。设置了之后发现端口映射失败了,没法访问到内网了。。 设置如图: 图片

    ps:在恩山找到了同样的问题。。 [Router OS] RouterOS 只能在过渡 NAT 下端口映射吗

    求解答是哪里设置的不对么,应该怎么做才行。防火墙 drop 的规则都被我禁用了还是不行

    第 1 条附言  ·  293 天前
    问题找到了,是因为设置了 openwrt 作为旁路网关,局域网内所有设备的网关地址都变成了 openwrt 的地址,从 mikrotik 论坛的帖子来看,这样的话就没法像图上那样设置。。做了个实验也确实不行
    https://forum.mikrotik.com/viewtopic.php?t=184994
    17 条回复    2024-01-27 17:06:21 +08:00
    zealic
        1
    zealic  
       294 天前
    你这里顺序有问题 WAN 的 masquerade 规则尽量放最下面。
    为了安全还要在 Filter rules 里面尽量做白名单规则,其他的都 Drop 。
    zealic
        2
    zealic  
       294 天前
    如果你是想解决爆破登录的源 IP 全部来自内网的问题,你需要的应该是 netmap ,而不是 dst-nat

    https://forum.mikrotik.com/viewtopic.php?t=107311
    sp670
        3
    sp670  
       293 天前
    @zealic 请教下为啥放最下面。。我一直都习惯放第一个。。。
    oneone1995
        4
    oneone1995  
    OP
       293 天前 via Android
    @zealic 放最下面也不行..
    starryloki
        5
    starryloki  
       293 天前 via iPhone
    可以尝试在被映射的设备上抓包再从外网访问,看看抵达被映射设备的数据包的源地址或是否实际抵达
    RecursiveG
        6
    RecursiveG  
       293 天前
    建议贴一下`/ip firewall export`的输出
    oneone1995
        7
    oneone1995  
    OP
       293 天前
    @RecursiveG
    ```
    /ip firewall address-list
    add address=hello.sn.mynetname.net list=wan-ip
    /ip firewall filter
    add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
    add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-port=5210 in-interface=pppoe-out1 protocol=\
    tcp to-addresses=192.168.88.214 to-ports=5001
    add action=masquerade chain=srcnat out-interface=pppoe-out1
    add action=dst-nat chain=dstnat dst-port=2222 in-interface=pppoe-out1 protocol=\
    tcp to-addresses=192.168.88.214 to-ports=22
    add action=dst-nat chain=dstnat dst-port=5211 in-interface=pppoe-out1 protocol=\
    tcp to-addresses=192.168.88.210 to-ports=80
    add action=dst-nat chain=dstnat dst-port=5212 in-interface=pppoe-out1 protocol=\
    tcp to-addresses=192.168.88.214 to-ports=3003
    add action=masquerade chain=srcnat disabled=yes out-interface=bridge \
    src-address=192.168.88.0/24
    add action=dst-nat chain=dstnat disabled=yes dst-address-list=wan-ip dst-port=\
    443 in-interface=bridge protocol=tcp to-addresses=192.168.88.214 to-ports=\
    5001
    add action=dst-nat chain=dstnat disabled=yes dst-address-list=wan-ip dst-port=\
    2222 in-interface=bridge protocol=tcp to-addresses=192.168.88.214 to-ports=\
    22
    ```
    geekotaku
        8
    geekotaku  
       293 天前
    为啥你经典的那行防火墙没有
    add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
    这样是要被爆破了呀
    514146235
        9
    514146235  
       293 天前
    搜索一下 Hairpin NAT
    RecursiveG
        10
    RecursiveG  
       293 天前
    试一下用手机流量访问。再拿一另部手机开个网页共享之类的软件看看是只有群晖不行还是都不行。
    shao
        11
    shao  
       293 天前
    firewall nat 配置没看出什么大问题,同样 masquerade 我也习惯放在最后一行。

    试试看 dst-nat 换一套端口。
    HOOC
        12
    HOOC  
       293 天前
    虚拟机吗?你是从内网通过公网域名不能访问,还是在外访问域名不能访问呢?如果从内网通过域名访问需要做回流,如果在外通过域名不能访问试试把这个禁用掉?
    /ip firewall filte
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
    Achophiark
        13
    Achophiark  
       293 天前
    1 masquerade 需要 src.address (内网地址或列表)
    2 mangle prerouting 需要一条 内网访问内网的 accpet
    以上解决发夹 nat
    其实旁路由可以用 dhcp option 3,6 指定特定设备网关为 openwrt
    oneone1995
        14
    oneone1995  
    OP
       293 天前
    @Achophiark 1 加了;2 是在旁路由上加吗?
    其实旁路由可以用 dhcp option 3,6 指定特定设备网关为 openwrt ,这个我用了,但其实感觉目前没有特定设备的需求,全屋都走 clash 了。
    https://images.newsmth.net/nForum/#!article/LinuxApp/955161 这个帖子搜到了同样的问题。。
    Achophiark
        15
    Achophiark  
       293 天前 via Android
    2 是 ros 上 应该是针对 v7 吧,都忘记了
    我是 n1 + ros 没你说的这些问题
    怎么可能全部设备留学啊 物联网智能设备,或者你老婆的 iPhone ,看阿里云盘也留学一圈吗
    Dzsss
        16
    Dzsss  
       293 天前
    旁路由的话,srcnat 加一条 Dst.Address = NAS IP Action=src-nat to-address= 路由器 LAN IP 。
    另外建议不要把全部设备的网关都指定到旁路由,走 DHCP 选项单独绑定需要走旁路由的设备。
    Mikrotik 的设备比较能提高网络知识。
    tutugreen
        17
    tutugreen  
       292 天前
    内网不用反复 nat ,出 wan 的时候 nat 就行。

    内网可以做好路由,内网到内网的配置好 dns 解决,不用走公网地址。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1406 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:41 · PVG 07:41 · LAX 15:41 · JFK 18:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.