Redirecionar acesso interno para outro ip interno

[gamineiro]

Boa tarde,

Possuo um redirecionamento da porta 8080 para dentro da rede. Agora, gostaria de fazer o mesmo quando acesso internamente pelo ip válido. No linux adiciono essa regra além das outras normais para redirecionar de fora para dentro da rede.

$IPT -t nat -A POSTROUTING -o $LOCAL_IFACE -s $LOCAL_NET -d 192.168.1.199/32 -j MASQUERADE

Alguem sabe fazer isso no Mikrotik?

Abraço


[RESOLVIDO]

https://under-linux.org/f212/redirec...tml#post635594

[hodesanionetx]

Bom amigo se vc já sabe fazer isso no linux o primeiro passo para fazer no MK é IR em Firewall aba Nat...

[gamineiro]

Bom amigo se vc já sabe fazer isso no linux o primeiro passo para fazer no MK é IR em Firewall aba Nat...

Obrigado amigo, mas já utilizei milhares de combinações de regras no firewall do Mikrotik.

Será que alguém já precisou utilizar isso?

Obrigado

[trober]

...Possuo um redirecionamento da porta 8080 para dentro da rede. Agora, gostaria de fazer o mesmo quando acesso internamente pelo ip válido.

Boa noite.

Vamos nomear e numerar os integrantes da festa

Você tem um roteador [rtr01], com IP hipotéticos endereços 200.200.200.2/30 (wan - ether1) e 192.168.10.1/24 (lan - ether2). O endereço do seu servidor, de hostname [srv02], é 192.168.10.2/24 (lan - eth0).

Parte 1: Pelo que entendi, você deseja acessar externamente, de qualquer IP do mundo, o endereço 200.200.200.2:8080 e cair em 192.168.10.1:8080. Isso você consegue resolver usando exemplos[1] prontos disponíveis aqui no Under-Linux.

Parte 2: Entendi também, que você deseja, estando DENTRO da sua rede (portanto, atrás do seu NAT), digitar no navegador 200.200.200.2:8080, e ser redirecionado para 192.168.10.2:8080. Isso?

O colega precisa da Parte 2, ou a Parte 1 já é suficiente?

[1] https://under-linux.org/f143/ajuda-c...21/#post564070

Saudações,

Trober
-
-
-
-
-

[hodesanionetx]

Vou tentar ser mais específico no exemplo 1 do nosso amigo Trober

/ ip firewall nat
add action=dst-nat chain=dstnat comment="Redirecionamento HTTP" disabled=no \dst-port=8181 protocol=tcp to-addresses=192.168.10.1 to-ports=80

Bem coloquei a porta 8181 para mudar. Espero ter ajudado!

[gamineiro]

Boa noite.

Vamos nomear e numerar os integrantes da festa

Você tem um roteador [rtr01], com IP hipotéticos endereços 200.200.200.2/30 (wan - ether1) e 192.168.10.1/24 (lan - ether2). O endereço do seu servidor, de hostname [srv02], é 192.168.10.2/24 (lan - eth0).

Parte 1: Pelo que entendi, você deseja acessar externamente, de qualquer IP do mundo, o endereço 200.200.200.2:8080 e cair em 192.168.10.1:8080. Isso você consegue resolver usando exemplos[1] prontos disponíveis aqui no Under-Linux.

Parte 2: Entendi também, que você deseja, estando DENTRO da sua rede (portanto, atrás do seu NAT), digitar no navegador 200.200.200.2:8080, e ser redirecionado para 192.168.10.2:8080. Isso?

O colega precisa da Parte 2, ou a Parte 1 já é suficiente?

[1] https://under-linux.org/f143/ajuda-c...21/#post564070

Saudações,

Trober
-
-
-
-
-

Bom dia,

Obrigado pela "topologia", não fui muito claro em minha explicação.

Pois bem, preciso da parte 2 mesmo.

Obrigado

[leonardolinux]

Bom dia

Seguinte você pode criar DNS para seu ip interno, ou seja, se o cliente digitar programas.site.com.br ele irá associar seu ip interno no mikrotik é tranquilo de fazer.

IP>DNS
Clique no + em Name coloca ex.: programas.site.com.br e em address seu ip interno

[gamineiro]

Bom dia

Seguinte você pode criar DNS para seu ip interno, ou seja, se o cliente digitar programas.site.com.br ele irá associar seu ip interno no mikrotik é tranquilo de fazer.

IP>DNS
Clique no + em Name coloca ex.: programas.site.com.br e em address seu ip interno

Obrigado amigo, mais preciso fazer da maneira correta. além do mais não tenho servidor DNS no firewall.

[trober]

Obrigado amigo, mais preciso fazer da maneira correta. além do mais não tenho servidor DNS no firewall.

Bom dia.

A alternativa sugerida pelo colega leonardolinux é a mesma que eu iria sugerir. A forma dele é correta.

O MikroTik RouterOS tem um serviço de DNS bem porcoso, mas resolve seu problema. O mais elegante é usar views do Bind.

Siga a sugestão dele que está no caminho.

Entretanto (sempre tem um porém...), se você ainda assim deseja fazer PAT (Port Address Translation), não só de requisições externas, mas internas também, a história muda completamente, nem o DNS porcão do RouterOS, nem o Bind, vão ajudar você.

Por gentileza, detalhe mais seu cenário, descreve faixas de redes, portas, dispositivos e serviços. Tem bastante gente aqui querendo ajudar, e precisamos desses detalhes

Saudações,

Trober
-
-
-
-
-

[gamineiro]

Bom dia.

A alternativa sugerida pelo colega leonardolinux é a mesma que eu iria sugerir. A forma dele é correta.

O MikroTik RouterOS tem um serviço de DNS bem porcoso, mas resolve seu problema. O mais elegante é usar views do Bind.

Siga a sugestão dele que está no caminho.

Entretanto (sempre tem um porém...), se você ainda assim deseja fazer PAT (Port Address Translation), não só de requisições externas, mas internas também, a história muda completamente, nem o DNS porcão do RouterOS, nem o Bind, vão ajudar você.

Por gentileza, detalhe mais seu cenário, descreve faixas de redes, portas, dispositivos e serviços. Tem bastante gente aqui querendo ajudar, e precisamos desses detalhes

Saudações,

Trober
-
-
-
-
-

Olá,

Não tenho como fazer assim por vários motivos. Não tenho servidor DNS rodando no firewall, uso AD e o DNS é nele. As conexões são feitas por IP e não por nome. Mesmo que não seja por nome, se eu tivesse outro serviço rodando no mesmo endereço, mas que ficasse fora da empresa (email por exemplo), não iria funcionar também.

O cenário é exatamente o que você descreveu como Parte 2.

Rede interna: 192.168.0.0/24
GW: 192.168.0.254
WEB SERVER: 192.168.0.80/24
IP VÁLIDO GW: 201.201.201.201

Quanto estou fora da empresa, acesso pelo browser o endereço http://201.201.201.201:8080 e sou redicionado para o IP do Web Server normalmente, essa regra é bem simples.

Quando estou dentro da empresa, quero acessar pelo browser o mesmo endereço http://201.201.201.201:8080 e também ser direcionado para o Web Server.

A regra correta para o Linux é exatamente essa. Ja tentei copiar mas não consigo.

$IPT -t nat -A POSTROUTING -o $LOCAL_IFACE -s $LOCAL_NET -d 192.168.0.80/32 -j MASQUERADE

[leonardolinux]

Bom dia

Favor teste esta regra abaixo...

/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-address=201.201.201.201 \
dst-port=8080 protocol=tcp to-addresses=192.168.0.80 to-ports=8080


Você esta usando Mikrotik em seu firewall?

[trober]

Rede interna: 192.168.0.0/24
GW: 192.168.0.254
WEB SERVER: 192.168.0.80/24
IP VÁLIDO GW: 201.201.201.201

Código :

/ip firewall nat \
add action=dst-nat chain=dstnat disabled=no \
dst-address=201.201.201.201 dst-port=8080 \
protocol=tcp src-address=192.168.0.0/24 \
to-addresses=192.168.0.80 to-ports=80

Interpretação em linguagem mais próxima possível da natural (o que é impossível com iptables), do código acima.

Redireciona para o host 192.168.0.80:80 as requisições originadas na redes 192.168.0.0/24, que tenham como destino o endereço 201.201.201.201:8080 TCP. Ao host alvo (192.168.0.80), assume-se a porta de destino em mesmo protocolo, portanto, TCP.

Acredito que seu problema será sanado.

Testa aí e nos avisa

Saudações,

Trober
-
-
-
-
-

[emanochio]

Olá,

Não tenho como fazer assim por vários motivos. Não tenho servidor DNS rodando no firewall, uso AD e o DNS é nele. As conexões são feitas por IP e não por nome. Mesmo que não seja por nome, se eu tivesse outro serviço rodando no mesmo endereço, mas que ficasse fora da empresa (email por exemplo), não iria funcionar também.

O cenário é exatamente o que você descreveu como Parte 2.

Rede interna: 192.168.0.0/24
GW: 192.168.0.254
WEB SERVER: 192.168.0.80/24
IP VÁLIDO GW: 201.201.201.201

Quanto estou fora da empresa, acesso pelo browser o endereço http://201.201.201.201:8080 e sou redicionado para o IP do Web Server normalmente, essa regra é bem simples.

Quando estou dentro da empresa, quero acessar pelo browser o mesmo endereço http://201.201.201.201:8080 e também ser direcionado para o Web Server.

A regra correta para o Linux é exatamente essa. Ja tentei copiar mas não consigo.

$IPT -t nat -A POSTROUTING -o $LOCAL_IFACE -s $LOCAL_NET -d 192.168.0.80/32 -j MASQUERADE

Deixa ver se entendi!!
Tu esta dentro da rede, e tem um ip valico xyz e que acessar pela porta externa 8080 pela rede interna.

Se tu digitar o ip xyz sem a porta vai cair direto? Se sim tu vai fazer o seguinte:
Troca a porta 80 do seu webserver pela porta 8080 e na regra do firewall tu troca a porta 80 do ip interno pela 8080.
Ai é so tu coloca o ip xyz:8080 tanto internamente como externamente.

[gamineiro]

Bom dia

Favor teste esta regra abaixo...

/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-address=201.201.201.201 \
dst-port=8080 protocol=tcp to-addresses=192.168.0.80 to-ports=8080


Você esta usando Mikrotik em seu firewall?

Não funcionou também.

[gamineiro]

Deixa ver se entendi!!
Tu esta dentro da rede, e tem um ip valico xyz e que acessar pela porta externa 8080 pela rede interna.

Se tu digitar o ip xyz sem a porta vai cair direto? Se sim tu vai fazer o seguinte:
Troca a porta 80 do seu webserver pela porta 8080 e na regra do firewall tu troca a porta 80 do ip interno pela 8080.
Ai é so tu coloca o ip xyz:8080 tanto internamente como externamente.

Amigo, não entendi o "vai car direto". Mas se colocar sem a porta, vai abrir o webserver do firewall.

Obrigado

[diegowf99]

Eu tbm estou procurando uma solução para a parte 2 algum sabe como fazer

[thiagodp]

Amigo, conseguiu a regra para seu problema??
Estou com o mesmo problema...

[gamineiro]

Boa tarde pessoal,

Desculpe pela demora para responder.

Na verdade as regras estavam corretas, porém na ORDEM INVERSA.

O que eu tinha sempre na cabeça fazendo com o iptables (linux) era que primeiro você precisa mascarar a saída, mesmo que seja para o IP válido do próprio roteador, depois é que você faz o redireciomento interno.

Não sei como não tinha feito os testes no mikrotik antes, a pressão era tanta que passou despercebido hahahaha.

Vamos ao exemplo: (Do início do post)
Primeiro vamos fazer o masquerade do IP do Webserver:

/ip firewall nat add chain=srcnat action=src-nat to-addresses=201.201.201.201 src-address=192.168.0.80

Depois vamos criar as regras de redirecionamento para ele, quantas forem necessárias:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.0.80 to-ports=80 protocol=tcp dst-address=201.201.201.201 dst-port=80

Pronto, eu tinha essas regras invertidas, esse era o problema.

Obs.: No ACTION da primeira regras, não usei o masquerade porque tenho mais de um IP válido na interface, por isso usei o src-nat para dizer qual era o IP que eu queria.

Obrigado a todos e fico a disposição para ajudar.

abraço

[alysson28]

Estou com esse problema também, meu caso é o seguinte:

Tenho um ip válido, que chega no meu MK por PPPoE, é feito o NAT das portas 80,8080,8081,8083 para o ip da LAN 10.10.1.252. Gostaria de abrir aqui na minha LAN a página pelo IP válido. Temos um sistema web de gerenciamento, que funciona tanto fora quando dentro da empresa, e alguns links so são acessados pelo ip real, quem tiver dentro da empresa não consegue. Quem puder ajudar agradeço!

[daniellannes]

Da uma olhada aqui
http://wiki.mikrotik.com/wiki/Hairpin_NAT


Sent from my iPhone using UnderLinux