+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Странный трафик torch! LAN виден из WAN

Странный трафик torch! LAN виден из WAN, RouterOS

OfficeM

Guest

12.11.2010 17:08:00

Привет! Сейчас у меня возникают странные проблемы, у нас настроено вот как: на RB750s стоит такое правило NAT:
0 ;;; Network NAT
chain=srcnat action=masquerade out-interface=Port 1 - WAN

Когда мы запускаем torch на RB1100 eth1, видим такой трафик: диапазоны 192.168.1.x/24 и 10.1.1.x/24. По идее этот трафик должен маскироваться (NAT) на адреса 1.1.1.2 и 2.2.2.2.

Если я подключаюсь за одним из RB750 и захожу в интернет, мой локальный IP правильно меняется на публичный IP. Но я никак не могу понять, почему RB1100 видит этот локальный трафик, который уже должен быть NAT-нут. Есть идеи? Спасибо!

davederksen

Guest

14.12.2010 19:43:00

Привет, SurferTim, извини за задержку с ответом, тут немного в жизни суматоха случилась. В общем, я проверил у своего провайдера — они не используют этот диапазон IP-адресов в своей сети. Интересно, что через какое-то время у меня сгорел роутер. Я заменил его на routerboard 750G с ROS 4.5. Одновременно поменял внутренний диапазон IP с 10.25.200.x на 10.25.0.x. Теперь вижу трафик с адресов 10.25.0.x на WAN-порту нового роутера. Ещё поставил такой же роутер и ОС у себя дома, подключился через DHCP к другому провайдеру, и там тоже на WAN-порту лезут внутренние IP — http, bootps и bootpc (255.255.255.255). Не кажется ли тебе, что я постоянно где-то неправильно настраиваю и этот косяк переходит на все роутеры?

SurferTim

Guest

15.12.2010 03:31:00

Где у вас интерфейс wan (интернет-соединение)? Может, если вы опубликуете команду «/ip firewall nat», это поможет. Здесь немного путается из-за двух наборов настроек. В следующий раз будет лучше, если вы создадите отдельную тему.

davederksen

Guest

15.12.2010 08:07:00

Где у вас интерфейс WAN (интернет-соединение)? Может, если вы выложите “/ip firewall nat”, это поможет. Тут немножко запутанно с двумя наборами конфигураций. В следующий раз лучше создавайте отдельную тему. Извиняюсь перед инициатором этой темы — я хотел просто внести своё мнение, а не захватить разговор.

В любом случае, мой интерфейс WAN — это ether1-gateway, напрямую подключён к кабельному модему от моего провайдера. Конфигурация ip firewall NAT такая:

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=no out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment=RDP disabled=no dst-address=70.78.xxx.xxx dst-port=3389 protocol=tcp to-addresses=192.168.1.109 to-ports=3389
add action=dst-nat chain=dstnat comment=Torrent disabled=no dst-address=70.78.xxx.xxx dst-port=62689 protocol=tcp to-addresses=192.168.1.109 to-ports=62689
add action=dst-nat chain=dstnat comment=Pap2 disabled=no dst-address=70.78.xxx.xxx dst-port=5060 protocol=udp to-addresses=192.168.1.109 to-ports=5060
add action=dst-nat chain=dstnat comment=Pap2tcp disabled=no dst-address=70.78.xxx.xxx dst-port=5060 protocol=tcp to-addresses=192.168.1.109 to-ports=5060

[admin@MikroTik] /ip firewall nat>

Это для моей домашней сети. Думаю, если у меня проблемы на всех настройках, проще взять самую простую как пример.

horhay Guest	#5 0 20.06.2015 16:26:00 Torch показывает IP-адреса на интерфейсе после применения NAT.

Ishtiaque Guest	#6 0 13.04.2018 01:29:00 Здравствуйте! Результаты вы можете увидеть ниже. UDP-порты 67 и 68 Общие назначения: Порт 67 — Bootps Порт 68 — Bootpc Входящее сканирование Обычно этот трафик связан с нормальной работой DHCP и не является атакой на вашу сеть. DHCP (протокол динамической конфигурации узла) — это способ, с помощью которого ваш компьютер получает уникальный IP-адрес. Когда устройство подключается к сети, оно сначала должно запросить IP-адрес (если не используется статический IP). Для этого оно рассылает запрос DHCP-серверу: UDP 0.0.0.0:68 → 255.255.255.255:67. Поскольку запрашивающее устройство ещё не имеет IP-адреса (отсюда и запрос), в качестве исходного адреса используется 0.0.0.0. А поскольку устройство новое и не знает, где находится DHCP-сервер, запрос посылается на всю сеть (адрес 255.255.255.255). В некоторых сетях такие запросы могут отслеживаться вашим файерволом (в зависимости от конфигурации сети провайдера и настроек логирования маршрутизатора/файервола), или же ваш маршрутизатор/файервол регистрирует такой трафик между собой и DHCP-сервером провайдера в процессе получения или обновления WAN IP-адреса. Далее DHCP-сервер отвечает сообщением: UDP 192.168.1.1:67 → 255.255.255.255:68. Обычно это предложение IP-адреса (DHCP offer). Обратите внимание, что ответ также посылается по широковещательному адресу (255.255.255.255), потому что запросившее устройство пока не знает своего IP — он содержится в этом ответе. В передаваемых данных указаны IP-адрес и другая сетевая информация, необходимая устройству для подключения (время аренды адреса, маска подсети и т.д.). Снова повторим, что такие широковещательные пакеты могут регистрироваться или блокироваться файерволом в зависимости от конфигурации сети и логирования оборудования. Иногда можно увидеть такой обмен: UDP 192.168.1.101:67 → 192.168.1.1:68 — запрос, следом ответ UDP 192.168.1.1:68 → 192.168.1.101:67. Это, как правило, запросы на продление аренды IP-адреса, когда устройство уже имеет IP и просит продлить срок использования (lease), либо, если продление невозможно, получить новый IP от DHCP-сервера. Поскольку устройство уже знает, где находится DHCP-сервер, и имеет действующий IP-адрес, в таких запросах не используются адреса 0.0.0.0 и 255.255.255.255. Исходящее сканирование Большинство маршрутизаторов и файерволов не логируют такой трафик, но поскольку чаще всего роутер и есть локальный DHCP-сервер, можно увидеть логи обмена между роутером/файерволом и подключающимися устройствами, когда те получают IP-адреса в вашей сети. Обычно DHCP-сервер не располагается в зоне WAN за файерволом, поэтому в таких случаях рекомендуется проверить конфигурацию своей сети.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры