Różne zewnętrzne adresy IP

Przyczyną napisania tego artykułu było wpisanie jednego z zewnętrznych adresów IP na czarną listę. Prawdopodobnie jeden z klientów zaśmiecał sieć na porcie 25.
Jeśli mamy łacze DSL 4 MB to mamy pule 5 zewnętrznych adresów IP. Nadajemy mikrotikowi 2 zewnętrzne adresy IP. Satndardowo ruch będzie się odbywał według trasy route . My jednak chcemy aby ruch z serwera pocztowego szedł przez inny zewnętrzny adres IP.

add chain=dstnat action=dst-nat dst-address=adres_ip_zewnętrzny to-addresses=adres_ip_wewnętrzny place-before=0

add chain=srcnat action=src-nat src-address=adres_ip_wewnętrzny to-addresses=adres_ip_zewnętrzny place-before=0

Oczywiście w miesjce adresów IP należy w komendach podać rzeczywiste adresy IP. Dzięki końcówce place-before-0 te reguły znajdą się na początku reguł firewalla. Takie regułki umieszczają nasz serwer w DMZ , wszystkie porty mogą być atakowane od zewnątrz. Dlatego lepiej zamiast pierwszej regułki użyć przekierowań dla poszczególnych portów np.

add chain=dstnat dst-address=adres_ip_zewnętrzny protocol=tcp dst-port=port_do_przekierowania \
    action=dst-nat to-addresses=adres_ip_wewnętrzny to-ports=port_do_przekierowania disabled=no

Ostatnio zmieniany piątek, 25 grudzień 2009 10:01

Początek strony