Hirdetés

  2. Fórumok
  3. Hálózat, szolgáltatók
  4. Mikrotik routerek
Keresés

Hirdetés

100 000 érv a ReGalaxy mellett: Vásárolj Galaxy Z Fold7 I Z Flip7 vagy Galaxy S25 szériás készüléket, és régi mobilod felújítását 100 000 Ft-ig mi álljuk!
  • Téma összefoglaló
    Utoljára frissítve: 2025-08-03 17:27

    Mobilarena

    Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

  • #12535 bacus őstag Core2duo6600 #12533
    Új Válasz #12535
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bacus

    őstag

    válasz Core2duo6600 #12533 üzenetére

    Ha a routeren nincs tiltó tűzfal szabály, akkor nem kell nat két alhálózat között, de a windows csak a saját alhálózatában keres. Nem tudom, hogy mi az ami blokkolja, de a windows tűzfalon is engedni kell az elérést.
    Az is lehet, hogy simán a NAT miatt a windows tűzfal már beengedi a másik gépet (látszólag azonos alhálózatból jön a kérés), de lehet a routeren is probléma.

    A tűzfal szabályok kiértékelése sorrendben történik, az első "illeszkedő" szabály után pedig nem folytatódik.

    Amikor két (v. több) alhálózat is van, és mindkettőnek szeretnénk internet elérést biztosítani, azt meg lehet valósítani több megoldással, mind lehet jó.
    pl
    chain=srcnat action=masquerade src-address=192.168.0.0/24
    chain=srcnat action=masquerade src-address=192.168.1.0/24

    Ez a két szabály pont ugyan annyira jó, mint a
    chain=srcnat action=masquerade out-interface=WAN

    de a fő különbség, nem csak az, hogy a második esetben csak egy szabály van, hanem, ebben az esetben egymás felé nincs NAT !, míg az első esetben igen.

    Ezért sokszor értelme lehet bizonyos "látszólag" nem értelmes szabályoknak is.
    pl
    chain=srcnat action=accept src-address=192.168.0.0/24
    dst-address=192.168.1.0/24 log=no log-prefix=""
    chain=srcnat action=accept src-address=192.168.1.0/24
    dst-address=192.168.0.0/24 log=no log-prefix=""

    Ez a szabály "látszólag" nem csinál semmit, csak megállítja az esetleg utána következő NAT masquarade szabályt.

    Tehát ha a fenti szabályokat betesszük a fenti két masq. szabály elé, akkor pont ugyan ott tartunk, mint a lenti 1 szabálynál. :)

    Az én gondolatmenetemben az a jó tűzfal konfiguráció, ami a lehető legkevesebb szabállyal valósítja meg ugyanazt a feladatot. A való életben főleg amikor 200 tűzfalat tartasz karban :), azonban célszerű lehet a túl egyszerűsített szabályokat beszédesebbé, később bővítéskor is egyértelművé tenni, hogy egy új szabály létrehozása ne rombolja szét, stb. (ehhez nem a commentelés a jó megoldás, segít, de nem old meg semmit)

    Szóval a fenti 1 ill 4 szabály helyett esetleg az arany középút:
    pl
    chain=srcnat action=masquerade src-address=192.168.0.0/24
    out-interface=WAN
    chain=srcnat action=masquerade src-address=192.168.1.0/24
    out-interface=WAN

    szabályoknál egy esetleges harmadik alhálózat létrehozásakor is tiszta a kép.
    Az átláthatóságot nagyban megkönnyíti, ha már az elején saját chainekbe rakja az ember a szabályokat, de a lustaság fél egészség :)

    Nos, mivel nem tudom milyen szabályaid léteznek, mivel tiltasz, milyen sorrendben, ezért a válaszom, hogy FOGALMAM SINCS miért kellett valójában a nat szabályod :D

Új hozzászólás Aktív témák