求 ROS NAT 设置指点

301 天前
 oneone1995

因为开了群晖的端口到公网,突然发现登不上了。后来发现进来的地址都是路由器的地址 192.168.88.1 ,很多爆破登录的导致 ip 被封禁了。。 查了资料后发现很多帖子都是让设置 masq 的 out.interface 为 !LAN 或者 WAN 。设置了之后发现端口映射失败了,没法访问到内网了。。 设置如图:

ps:在恩山找到了同样的问题。。 [Router OS] RouterOS 只能在过渡 NAT 下端口映射吗

求解答是哪里设置的不对么,应该怎么做才行。防火墙 drop 的规则都被我禁用了还是不行

2199 次点击
所在节点    宽带症候群
17 条回复
zealic
301 天前
你这里顺序有问题 WAN 的 masquerade 规则尽量放最下面。
为了安全还要在 Filter rules 里面尽量做白名单规则,其他的都 Drop 。
zealic
301 天前
如果你是想解决爆破登录的源 IP 全部来自内网的问题,你需要的应该是 netmap ,而不是 dst-nat

https://forum.mikrotik.com/viewtopic.php?t=107311
sp670
300 天前
@zealic 请教下为啥放最下面。。我一直都习惯放第一个。。。
oneone1995
300 天前
@zealic 放最下面也不行..
starryloki
300 天前
可以尝试在被映射的设备上抓包再从外网访问,看看抵达被映射设备的数据包的源地址或是否实际抵达
RecursiveG
300 天前
建议贴一下`/ip firewall export`的输出
oneone1995
300 天前
@RecursiveG
```
/ip firewall address-list
add address=hello.sn.mynetname.net list=wan-ip
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=5210 in-interface=pppoe-out1 protocol=\
tcp to-addresses=192.168.88.214 to-ports=5001
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat dst-port=2222 in-interface=pppoe-out1 protocol=\
tcp to-addresses=192.168.88.214 to-ports=22
add action=dst-nat chain=dstnat dst-port=5211 in-interface=pppoe-out1 protocol=\
tcp to-addresses=192.168.88.210 to-ports=80
add action=dst-nat chain=dstnat dst-port=5212 in-interface=pppoe-out1 protocol=\
tcp to-addresses=192.168.88.214 to-ports=3003
add action=masquerade chain=srcnat disabled=yes out-interface=bridge \
src-address=192.168.88.0/24
add action=dst-nat chain=dstnat disabled=yes dst-address-list=wan-ip dst-port=\
443 in-interface=bridge protocol=tcp to-addresses=192.168.88.214 to-ports=\
5001
add action=dst-nat chain=dstnat disabled=yes dst-address-list=wan-ip dst-port=\
2222 in-interface=bridge protocol=tcp to-addresses=192.168.88.214 to-ports=\
22
```
geekotaku
300 天前
为啥你经典的那行防火墙没有
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
这样是要被爆破了呀
514146235
300 天前
搜索一下 Hairpin NAT
RecursiveG
300 天前
试一下用手机流量访问。再拿一另部手机开个网页共享之类的软件看看是只有群晖不行还是都不行。
shao
300 天前
firewall nat 配置没看出什么大问题,同样 masquerade 我也习惯放在最后一行。

试试看 dst-nat 换一套端口。
HOOC
300 天前
虚拟机吗?你是从内网通过公网域名不能访问,还是在外访问域名不能访问呢?如果从内网通过域名访问需要做回流,如果在外通过域名不能访问试试把这个禁用掉?
/ip firewall filte
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
Achophiark
300 天前
1 masquerade 需要 src.address (内网地址或列表)
2 mangle prerouting 需要一条 内网访问内网的 accpet
以上解决发夹 nat
其实旁路由可以用 dhcp option 3,6 指定特定设备网关为 openwrt
oneone1995
300 天前
@Achophiark 1 加了;2 是在旁路由上加吗?
其实旁路由可以用 dhcp option 3,6 指定特定设备网关为 openwrt ,这个我用了,但其实感觉目前没有特定设备的需求,全屋都走 clash 了。
https://images.newsmth.net/nForum/#!article/LinuxApp/955161 这个帖子搜到了同样的问题。。
Achophiark
300 天前
2 是 ros 上 应该是针对 v7 吧,都忘记了
我是 n1 + ros 没你说的这些问题
怎么可能全部设备留学啊 物联网智能设备,或者你老婆的 iPhone ,看阿里云盘也留学一圈吗
Dzsss
300 天前
旁路由的话,srcnat 加一条 Dst.Address = NAS IP Action=src-nat to-address= 路由器 LAN IP 。
另外建议不要把全部设备的网关都指定到旁路由,走 DHCP 选项单独绑定需要走旁路由的设备。
Mikrotik 的设备比较能提高网络知识。
tutugreen
299 天前
内网不用反复 nat ,出 wan 的时候 nat 就行。

内网可以做好路由,内网到内网的配置好 dns 解决,不用走公网地址。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1011627

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX