Zaludny portforward na Mikrotiku

Mikrotiky nepoznam, ale Port Forwarding je principialne vzdy rovnaky.Nie je moznost v mikrotiku zvolit Source network? Mne to pripada, ze ty si tam zvolyl Any (teda hociktoru) a tym padom to NAT-uje aj pakety zvnutra cez dane porty.Skus pozriet, ci tam nie je moznost zvolit Source Network alebo Source Adapter a zadefinovat, aby NAT-oval iba pakety prichadzajuce na WAN alebo ak chces na External Network.Co je zvlastne, ze nevidim zmienku o porte 25. Ale ako pises, ze ti to funguje, tak potom do toho asi nevrtat :)

Dik za natuknuti, no porty resim prichozi, odchozi SMTP taky, ale pokud vyresim spojeni prichozi pop3 IMAP, tak smtp je brnkacka. Je tam moc moznosti, ale ten navid, ze mam pridat jeste z pozadavek na WAN je dobry napad.

Boze aku tu mam hrubku, ze zvolyl...Ludevit Stur, prosim o odpustenie :)

Dst address musí být adresa WAN rozhraní mikrotiku. Nebo možná ještě lépe In-Interface nastavit na rozhraní WAN, pak by to nikdy nemělo ovlivnit nic co jde z routeru ven.A pak bych "to ports" nenastavoval. Když nechceš měnit čísla portů tak bych to nenastavoval. Teda já to nenastavuji a vše mi funguje, jsem totiž v podobné situaci jako ty. Taky mám NAT 1:1 a na WAN mikrotiku poskytovatelovu neveřejnou IP.

jj in interface jsem nastavil interface WANu. Az budu doma vyzkousim. Momentalne mi postovni klient funguje. to ports se nastavi samo a pokud je nemenim, z 8022 na 22 tak nechavam prazdne. ja mam jeste navic to ze na tom Linux serveru mi bezi i OpenVPN, takze jeste resim routing

Taky si myslím, že celá chyba je v tom, že jsi měl nastavit WAN adresu Mikrotika a ne veřejnou adresu kdesi u poskytovatele. Pokud je totiž pro tvůj Mikrotik nastavena jako výchozí brána ta veřejná adresa, je pravidlo platné pro všechny pakety, které odcházejí do internetu přes výchozí bránu.

No ja prave v dest address nemel nastaveno nic, kdyz jsem dal mou verejnou, tak to jaksi nejelo z venci. Kde jsou ty casy, kdy jsem na tom mtiku mel na WANu primo verejnou. Ted zmenili technologii, abych mel neomezeny internet, ale minimalne darantovanych 30/15Mbit tak museli dat 1:1. Jinak opravdu stacilo dat in iface na port WAN a jede to jak ma. Nevim proc, ale u presmerovani SSH jsem to nastavene mel i s tim portem. Ja vul to nedal na ty porty toho mailserveru.

Ono je dobré si uvědomit jaká je základní logika mikrotiku. Tj že je tím pravidlem zpracováno VŠE co mu odpovídá.Tedy když máš nastaveno že se to má vztahovat na TCP protokol s dst-portem 995 a nic víc, tak to opravdu zpracuje vše co tomu odpovídá. Včetně těch odchozích paketů co míří na port 995.Případně přikládám moje nastavení pro port 6300, ať se můžeš inspirovat:https://ctrlv.cz/WHGbhttps://ctrlv.cz/ROdShttps://ctrlv.cz/Zgp7https://ctrlv.cz/aTyrJediné co tam mám trochu jinak je to že nemám nastavenou dest address, ale používám dest address list, kam mám zadanou WAN mikrotiku a veřejnou od poskytovatele. V případě změny je snadnější editovat ten jeden seznam než u každého pravidla měnit adresu.

jj mel jsem to u jinych pravidel nastavene dest port, ale z toho nee... Jinak to mame stejne. JJ pravidla z linuxu je vpohode taky co zadas v iptables mas.

melo by stacit upravit src a dsc adresy. Ja mam doma nastaveny shaper a musim u nej definovat adresy. JInak se mi shapuje vsechno i v interni komunikace kde to neni zadouci

navodu jak nastavit port forwarding na MT je na netu milion.V IP / Firewall / NAT vyplnis pravidlo:zalozka General:Chain: dstnatProtocol: TCPDst. Port: 25 (venkovní smerovanej port)zalozka Action:Action: dst-natTo Address: 10.0.0.10 (vnitrni ip adresa serveru)To Ports: 25to je cely, nic jinyho tam nastavovat nemusis a port 25 se ti z venku dostane na IP 10.0.0.10:25 (zadny Dst. Adress tam byt nemusi)

Nesouhlasím. Dst Adress, nebo nějaké další omezení je žádoucí.Máš pravdu že i tohle bude fungovat a příchozí komunikaci to přesměruje. To je fakt. Jenže když z lokální sítě se bude pokoušet připojit někam jinam na portu 25, např: 1.2.3.4:25, tak to tomu pravidlu vyhovuje také (protocol TCP odpovídá, Dst.Port 25 odpovídá, a jiné omezení není) a NAT ho přesměruje na 10.0.0.10:25. Takže se nikdy nepřipojí na server na internetu, ale vždy ho to přesměruje zpět do lokální sítě a to často vadí.

jj presne to co jsem resil ja. z venku slo ze vnitr to posilalo taky na server, misto seznamu

Jak uz napsal Nargon, idealni je specifikovat, ze to pravidlo plati jen pro provoz ktery prichazi na konkretni interface, tim je to jednoznacne dane a neni potreba resit adresni rozsahy apod.