LINUX.ORG.RU
ФорумAdmin

mikrotik настройка

 , ,


2

1

Добрый день!

Имеется сабжевый девайс с winbox

WAN 1.2.3.4

LAN 192.168.0.1/24

remote server 5.6.7.8

На уровне провайдера, заблокирован нужный порт. Пусть будет 139tcp.

Как лучше настроить роутер, что бы можно было из локалки попасть на удаленный сервер с самбой, делая запрос на 139 порт?

На remote server 5.6.7.8 сделал проброс портов 2139->139tcp

VPN как крайнее решение.


/ip firewall nat add chain=srcnat dst-address=5.6.7.8 dst-port=139 action=redirect to-ports=2139

Подозреваю, что так.

l0stparadise ★★★★★ ()
Последнее исправление: l0stparadise (всего исправлений: 1)
Ответ на: комментарий от l0stparadise

Так уже делал, но:

couldn't change nat rule ***** srcnat chain can not contain redirect/dnat actions

imho9 ()

Самба работает в пределах локалки, если у вас 5.6.7.8 - внешний адрес, то надо VPN организовать

samson ★★ ()

и для smb одного порта не достаточно.

вывод sudo netstat -ptnl

посмотрите, сами поймете

samson ★★ ()
Ответ на: комментарий от samson

Рвет соединение. Больше никаких пробросов не нужно делать?

tcpdump port 139

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
15:48:53.900405 IP 192.168.0.1.39850 > 5.6.7.8.netbios-ssn: Flags [S], seq 3348431950,
 win 29200, options [mss 1460,sackOK,TS val 20189481 ecr 0,nop,wscale 7], length 0

15:48:53.900690 IP 192.168.0.1.netbios-ssn > 5.6.7.8.39850: Flags [R.], seq 0, ack 3348431951, win 0, length 0
imho9 ()
Ответ на: комментарий от imho9

посмотрите вывод sudo netstat -ptnl |grep smb сами поймете.

Самба работает в пределах локалки,

у вас 5.6.7.8 - внешний адрес? smb не предназначен для работы в интернете

samson ★★ ()
Последнее исправление: samson (всего исправлений: 2)
Ответ на: комментарий от samson

5.6.7.8 адрес внешний.

Если сделать напрямую : telnet 5.6.7.8 2139 - открывает соединение

telnet 5.6.7.8 139 - Connection refused

netstat -ptnl |grep smb

tcp        0      0 0.0.0.0:445                 0.0.0.0:*                   LISTEN      17042/smbd
tcp        0      0 0.0.0.0:139                 0.0.0.0:*                   LISTEN      17042/smbd
tcp        0      0 :::445                      :::*                        LISTEN      17042/smbd
tcp        0      0 :::139                      :::*                        LISTEN      17042/smbd

imho9 ()
Ответ на: комментарий от imho9

1. ну вот вывод netstat вам уже говорит о том, что не только один порт используется. Плюс там есть еще и udp. Посмотрите sudo netstat -ptnlua |grep mb

Это вам так, для размышлений (что не один порт используется)... Но вся проблемы не в этом (см. п.2)

5.6.7.8 адрес внешний.

2. Повторюсь в третий раз. smb не предназначен для работы в интернете. Только для локальных сетей! Из этого делаем вывод, что даже оставлять порты открытыми - это уже очень плохая идея. И для того, что бы работать с удаленным samba сервером вам нужно создать и настроить туннел до него...

Причем подойдет не любой vpn, надо L2

samson ★★ ()
Ответ на: комментарий от samson

Понимаю, что идея плохая, но необходимость пока такова. Работаем так несколько лет, есть жесткое ограничение по ip.

imho9 ()
Ответ на: комментарий от imho9

На удаленном сервере с самбой что за система?

Если Linux, то в чем проблема поднять VPN с mikrotik-ом?

Да и если и не Линукс...

samson ★★ ()
Последнее исправление: samson (всего исправлений: 1)
Ответ на: комментарий от imho9

Работаем так несколько лет,

Как работаете, если ничего не работает?)

Самбу не надо светить в инет - это раз.

Она, как и сам протокол, предназначена для работы в локальных сетях - это два.

PS: «у меня есть автомобиль, хочу на нем летать и плавать, и меня не волнует что автомобиль сделан что бы ездить по дорогам...»

samson ★★ ()
Ответ на: комментарий от samson

VPN как крайнее решение.

Не крайнее, а единственное. Точка.

mogwai ★★★★ ()
Ответ на: комментарий от samson

Работало, но недавно, провайдер залочил у себя порты 137-139 и 445. Я же написал в самом начале. Поэтому и началась «пляска» с пробросами/редиректами портов.

imho9 ()
Ответ на: комментарий от imho9

ну тогда пробрасывайте и работайте дальше)

Вам все уже написали: sudo netstat -alptun | grep mb покажет вам используемые порты.

Так же гугл знает:

http://troy.jdmz.net/samba/fw/ тут рассказывается, какие проты надо ACCEPT, ну а вам пробросить...

https://www.google.ru/search?q=samba iptables

samson ★★ ()
Последнее исправление: samson (всего исправлений: 1)
Ответ на: комментарий от imho9

кстати, провайдер мог закрыть эти порты в связи с WannaCry например... Хотя, если честно, я хз че оно там использует и что твроит...

samson ★★ ()
Последнее исправление: samson (всего исправлений: 1)
Ответ на: комментарий от samson

это какой то сюр :)

Я и просил подсказать с настройками на микротике, возможно у кого то был опыт.

Сам роутер находится в 2000км от меня. Хочется свести к минимуму сетевые эксперименты.

imho9 ()
Ответ на: комментарий от imho9

так вам в первых постах сказали, как dnat/redirect сделать.

samson ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.