这是一个创建于 629 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为开了群晖的端口到公网,突然发现登不上了。后来发现进来的地址都是路由器的地址 192.168.88.1 ,很多爆破登录的导致 ip 被封禁了。。 查了资料后发现很多帖子都是让设置 masq 的 out.interface 为 !LAN 或者 WAN 。设置了之后发现端口映射失败了,没法访问到内网了。。 设置如图:
ps:在恩山找到了同样的问题。。 [Router OS] RouterOS 只能在过渡 NAT 下端口映射吗
求解答是哪里设置的不对么,应该怎么做才行。防火墙 drop 的规则都被我禁用了还是不行
第 1 条附言 2024-01-26 16:34:01 +08:00
问题找到了,是因为设置了 openwrt 作为旁路网关,局域网内所有设备的网关地址都变成了 openwrt 的地址,从 mikrotik 论坛的帖子来看,这样的话就没法像图上那样设置。。做了个实验也确实不行
https://forum.mikrotik.com/viewtopic.php?t=184994
https://forum.mikrotik.com/viewtopic.php?t=184994
 | 1 zealic 2024-01-26 02:49:27 +08:00 你这里顺序有问题 WAN 的 masquerade 规则尽量放最下面。 为了安全还要在 Filter rules 里面尽量做白名单规则,其他的都 Drop 。 |
| 2 zealic 2024-01-26 03:07:49 +08:00 如果你是想解决爆破登录的源 IP 全部来自内网的问题,你需要的应该是 netmap ,而不是 dst-nat https://forum.mikrotik.com/viewtopic.php?t=107311 |
 | 4 oneone1995 OP @zealic 放最下面也不行.. |
 | 5 starryloki 2024-01-26 09:33:28 +08:00 via iPhone 可以尝试在被映射的设备上抓包再从外网访问,看看抵达被映射设备的数据包的源地址或是否实际抵达 |
 | 6 RecursiveG 2024-01-26 09:37:10 +08:00 建议贴一下`/ip firewall export`的输出 |
| 7 oneone1995 OP @RecursiveG ``` /ip firewall address-list add address=hello.sn.mynetname.net list=wan-ip /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment=\ "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related hw-offload=yes add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=\ invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=dst-nat chain=dstnat dst-port=5210 in-interface=pppoe-out1 protocol=\ tcp to-addresses=192.168.88.214 to-ports=5001 add action=masquerade chain=srcnat out-interface=pppoe-out1 add action=dst-nat chain=dstnat dst-port=2222 in-interface=pppoe-out1 protocol=\ tcp to-addresses=192.168.88.214 to-ports=22 add action=dst-nat chain=dstnat dst-port=5211 in-interface=pppoe-out1 protocol=\ tcp to-addresses=192.168.88.210 to-ports=80 add action=dst-nat chain=dstnat dst-port=5212 in-interface=pppoe-out1 protocol=\ tcp to-addresses=192.168.88.214 to-ports=3003 add action=masquerade chain=srcnat disabled=yes out-interface=bridge \ src-address=192.168.88.0/24 add action=dst-nat chain=dstnat disabled=yes dst-address-list=wan-ip dst-port=\ 443 in-interface=bridge protocol=tcp to-addresses=192.168.88.214 to-ports=\ 5001 add action=dst-nat chain=dstnat disabled=yes dst-address-list=wan-ip dst-port=\ 2222 in-interface=bridge protocol=tcp to-addresses=192.168.88.214 to-ports=\ 22 ``` |
 | 8 geekotaku 2024-01-26 10:09:05 +08:00 为啥你经典的那行防火墙没有 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN 这样是要被爆破了呀 |
 | 9 514146235 2024-01-26 10:09:15 +08:00 搜索一下 Hairpin NAT |
| 10 RecursiveG 2024-01-26 10:35:55 +08:00 试一下用手机流量访问。再拿一另部手机开个网页共享之类的软件看看是只有群晖不行还是都不行。 |
 | 11 shao 2024-01-26 11:03:41 +08:00 firewall nat 配置没看出什么大问题,同样 masquerade 我也习惯放在最后一行。 试试看 dst-nat 换一套端口。 |
 | 12 HOOC 2024-01-26 13:11:22 +08:00 虚拟机吗?你是从内网通过公网域名不能访问,还是在外访问域名不能访问呢?如果从内网通过域名访问需要做回流,如果在外通过域名不能访问试试把这个禁用掉? /ip firewall filte add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related hw-offload=yes |
 | 13 Achophiark 2024-01-26 17:04:43 +08:00 1 masquerade 需要 src.address (内网地址或列表) 2 mangle prerouting 需要一条 内网访问内网的 accpet 以上解决发夹 nat 其实旁路由可以用 dhcp option 3,6 指定特定设备网关为 openwrt |
| 14 oneone1995 OP @Achophiark 1 加了;2 是在旁路由上加吗? 其实旁路由可以用 dhcp option 3,6 指定特定设备网关为 openwrt ,这个我用了,但其实感觉目前没有特定设备的需求,全屋都走 clash 了。 在 https://images.newsmth.net/nForum/#!article/LinuxApp/955161 这个帖子搜到了同样的问题。。 |
| 15 Achophiark 2024-01-26 19:04:45 +08:00 via Android 2 是 ros 上 应该是针对 v7 吧,都忘记了 我是 n1 + ros 没你说的这些问题 怎么可能全部设备留学啊 物联网智能设备,或者你老婆的 iPhone ,看阿里云盘也留学一圈吗 |
 | 16 Dzsss 2024-01-26 21:25:46 +08:00 旁路由的话,srcnat 加一条 Dst.Address = NAS IP Action=src-nat to-address= 路由器 LAN IP 。 另外建议不要把全部设备的网关都指定到旁路由,走 DHCP 选项单独绑定需要走旁路由的设备。 Mikrotik 的设备比较能提高网络知识。 |
 | 17 tutugreen 2024-01-27 17:06:21 +08:00 内网不用反复 nat ,出 wan 的时候 nat 就行。 内网可以做好路由,内网到内网的配置好 dns 解决,不用走公网地址。 |
Select Language