RemComm
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Paromshick М... К сожалению не припомню, где именно я упоминал об обязательной фильтрации трафика. Возможно, вы не достаточно внимательно прочли. Как раз, напротив, я говорил об обязательной его нефильтрации. Если вы относительно моего последнего предложения Цитата: Про НАТ забыть нельзя, потому что он все и ломает (как именно - описал ранее). | - Так это ответ на ваще утверждение Цитата: Нельзя про NAT забыть? Можно же. | Потому что именно в вашей конфигурации - нельзя, потому что он есть, на внутреннем интерфейсе, где его не должно быть, он вам все ломает и вы не можете его трогать потому что Цитата: Не могу я трогать это м... НАТ. Ну сказал же. | Давайте взглянем: Цитата: Что-то я не так добавляю на микрОтике. не умею его готовить. Потому спрашиваю здесь | - Ок, это не есть проблема, Вам рассказали, что в вашей конфигурации проблема не в маршрутах, а в правилах стенки. Маршрут вы добавляете правильно. Его там по другому и не добавить. Скорей всего, вы не поняли микротик и хотите все сделать "по своим правилам". Но микротик вам не позволит. Цитата: - Когда вы добавляете маршрут - вы и получаете роут без всего. Но в вашей конфигурации одного только маршрута недостаточно. Потому что, поверх модуля перенаправления пакетов, у вас еще отрабатывает стенка. Поэтому надо ж ведь еще и ей точно указать, что именно фильтровать или НАТить. А в соответствии с текущей конфигурацией она НАТит исходящие пакеты на интерфейсе 192.168.64.5. Это следует из ваших исходных данных: Цитата: При добавлении маршрута из 5 в 1 идёт через NAT. | Именно отсюда мы понимаем, что на Eth1 у вас НАТ, что есть необычно. Таким образом, вы имеете НАТ на двух интерфейсах: на Eth7 (аплинк) и на Eth1 (192.168.64.5). К НАТу на Eth7 вопросов нет. Вопросы были к НАТу на Eth1, потому что к внешнему, проходящему через аплинк, трафику этот НАТ никакого отношения не имеет. Возможно, это потому, что в правилах стенки уже определено маскарадить на всех интерфейсах, кроме Eth5. Такое ведь возможно? Вам сразу сказали фикс: Цитата: Если вы уверены, что там нужен NAT (ну, ещё бы - зачем вы иначе его там добавили...) и хотите, чтобы только на 172.17.0.0/18 он не действовал - создайте в NAT наверху правило с dst-address=172.17.0.0/18 action=accept. | Цитата: Нужен маршрут. Не надо этот маршрут просеивать ни через какие фильтры. Это же можно сделать? И если так ... то почему не работает? Маршрут тоже пробовался по разному. | - хм, даже не знаю... Потому что поверх модуля перенаправления пакетов отрабатывает еще и стенка, и для нее определены свои правила, и они не изменяются при добавлении только маршрута? Курить там много не надо. Надо понять, что именно у вас происходит и как именно работает конкретное программное обеспечение. В вашем конкретном случае - микротик, в общем случае - линукс, потому что именно на нем микротик и построен. Вы задали вопрос - вам ответили. Вы не разобрались в ответе и приложили схему. Все было понятно и без нее, но ок, она упростила объяснение для вас. Второй раз вам сказали про НАТ, и про то, что он Вам все ломает. Цитата: НЕ МОГУ. Я. Трогать это работающий к чертям, девайс. | - но вы его уже трогаете, вы настраиваете новый интерфейс и добавляете маршрут. Так добавьте еще одно правило для стенки. По сути: 1 - маршрут вы добавляете правильно. 2 - этого просто не достаточно в вашей конкретной конфигурации, надо добавить правило стенки. 3 - правило для стенки вы не будете добавлять. или ваши исходные данные неверны. Ну, ОК. Вы просто попробуете еще что-то другое. | Всего записей: 838 | Зарегистр. 30-09-2003 | Отправлено: 00:38 22-11-2017 | Исправлено: RemComm, 04:17 22-11-2017 |
|