+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как изменить src NAT и src IP/port после маршрутизации?

Как изменить src NAT и src IP/port после маршрутизации?, RouterOS

greencomputing

Guest

13.08.2012 10:24:00

Привет, народ! Как думаете, возможно создать новую цепочку, возможно, используя какой-то трюк (через виртуальные интерфейсы, бриджи и т.д.), чтобы получить дополнительную обработку сразу после правил srcnat (сразу после postrouting)? Моя цель — узнать IP-адрес, используемый в качестве исходного IP / порт, применяемый правилами src nat. Для ясности, до действия src-nat у меня есть клиентский запрос на dst tcp порт 80 и dst ip a.b.c.d, использующий в качестве приватного исходного IP x.y.z.w и исходный порт K. Как мне узнать новый src IP как результат действия src nat сразу перед тем, как пакет покинет роутер, используя src IP x1.y1.z1.w1 и исходный порт K1? У меня уже были предложения по использованию других способов, например, поток пакетов и учет, но они не реализуемы и не соответствуют моим требованиям. Решение, если оно существует, должно использовать цепочки брандмауэра. Большое спасибо за интерес к вопросу, хорошего дня!

peson Guest	#2 0 13.08.2012 11:51:00 Является ли src a.b.c.d и dst x.y.z.w уже известным? Это что-то вроде логирования трафика, что ли?

greencomputing

Guest

13.08.2012 12:46:00

Если это поможет описать решение, да, думаю, мы уже знаем исходный приватный IP/порт и целевой /порт, и хотим узнать измененный публичный IP/порт, созданный правилом SNAT. Требование заключается в том, чтобы этот NATted IP/порт автоматически записывался/логировался брандмауэром/фильтром/правилом NAT.

peson

Guest

13.08.2012 19:26:00

Создай мост, который включает в себя интерфейс, подключенный к интернету. Измени интерфейс внешнего IP на мост. Создай правило mangle в цепочке forward файрвола с действием mark connection и passthrough. Создай второе правило mangle в цепочке forward файрвола, которое использует connection mark для маркировки пакетов. Наконец, создай правило лога в цепочке output моста, которое использует packet mark. Готовься к огромному логу, но это уже другая проблема.

Edit: /ip firewall mangle
add action=mark-connection chain=forward dst-address=8.8.8.8 new-connection-mark=GDNS-conn
add action=log chain=forward connection-mark=GDNS-conn connection-state=new log-prefix=FW-GDNS
add action=mark-packet chain=forward connection-mark=GDNS-conn connection-state=new new-packet-mark=GDNS-pack passthrough=no
/interface bridge filter
add action=log chain=output log-prefix=BR-GDNS packet-mark=GDNS-pack

Это приведет к логированию только пакетов при установлении нового соединения.

Результаты в логе:
23:18:39 firewall,info FW-GDNS forward: in:pppoe-rt-bfs-3 out:br-int, proto UDP, 172.32.1.2:1142->8.8.8.8:53, len 68
23:18:39 firewall,info BR-GDNS output: in:(none) out:ether5, src-mac 00:0c:42:b4:8a:61, dst-mac 00:33:43:79:c3:d0, eth-proto 0800, UDP, 96.110.62.55:1142->8.8.8.8 :53, len 68
23:18:39 firewall,info FW-GDNS forward: in:pppoe-rt-bfs-3 out:br-int, proto UDP, 172.32.1.2:1143->8.8.8.8:53, len 64
23:18:39 firewall,info BR-GDNS output: in:(none) out:ether5, src-mac 00:0c:42:b4:8a:61, dst-mac 00:33:43:79:c3:d0, eth-proto 0800, UDP, 96.110.62.55:1143->8.8.8.8 :53, len 64

greencomputing Guest	#5 0 13.08.2012 23:30:00 Привет, peson, работает! Огромное спасибо за все усилия, которые ты приложил, чтобы решить мою проблему. Очень благодарен. Хорошего дня!

peson Guest	#6 0 15.08.2012 06:16:00 Спасибо за ваше признание.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры