[研究所] MikroTik RouterOS 學習 (持續更新) (第244頁)

gfx

gfx
個人積分：1603分
文章編號：52232461

1603分

2431樓

2014-09-20 23:58

rainseason wrote:
各位前輩：因為小弟不...(恕刪)

假如web server-ip為192.168.1.11
將下面命令貼入Winbox主選單的Terminal視窗即可.

/ip firewall nat
add action=dst-nat chain=dstnat dst-address-type=local \
dst-port=3389 protocol=tcp to-addresses=192.168.1.11

不過tcp-port:3389是Windows遠端桌面的連接埠耶,您確定沒弄錯嗎?

rainseason

rainseason
個人積分：0分
文章編號：52232682

0分

2432樓

2014-09-21 0:11

多謝您的提問，我在w3svc上面的log，全部都顯示來源是192.168.1.1（那台防火牆）耶，所以我猜可能是防火牆把外部來的連線request都改掉了，變成「他自己的連線request了」，我想也許RouterOS上面有某個選項可以修正此事。

感激！

pctine wrote:
如果不安裝 como...(恕刪)

pctine

pctine
個人積分：5084分
文章編號：52232872

5084分

樓主

2014-09-21 0:25

rainseason wrote:
多謝您的提問，我在w...(恕刪)

要先找到問題點, 就先拿掉 firewall software 試看看.

FB: Pctine

rainseason

rainseason
個人積分：0分
文章編號：52232948

0分

2434樓

2014-09-21 0:30

您好：

非常感謝您的教導。您說得沒錯，應該是port 80才對。

另，容我再耽誤您一點時間：
若我想要把「來自外界的任何request的外界IP，通統都轉告給這台web server」，那麼您的這道指令應該怎樣寫呢？
(例如，這台web server上面有七八個port都是對外界開放的，我希望這個web server上面的comodo可以辨識各式各樣不管什麼連線需求的真正來源IP)

非常感謝您了！

gfx wrote:
假如web serv...(恕刪)

gfx

gfx
個人積分：1603分
文章編號：52233043

1603分

2435樓

2014-09-21 0:36

rainseason wrote:
您好：非常感謝您的教...(恕刪)

將上面的命令,其中dst-address-type=local dst-port=3389 protocol=tcp這些文字,
用in-interface=pppoe-out1取代.

pctine

pctine
個人積分：5084分
文章編號：52233053

5084分

樓主

2014-09-21 0:37

rainseason wrote:
(例如，這台web server上面有七八個port都是對外界開放的，我希望這個web server上面的comodo可以辨識各式各樣不管什麼連線需求的真正來源IP)...(恕刪)

那就是 dst-nat. 並沒有什麼特別的指令.

FB: Pctine

pctine

pctine
個人積分：5084分
文章編號：52233092

5084分

樓主

2014-09-21 0:39

gfx wrote:
/ip firewall nat
add action=dst-nat chain=dstnat dst-address-type=local \
dst-port=3389 protocol=tcp to-addresses=192.168.1.11...(恕刪)

照理說 to-address=192.168.1.11 就夠了. (不需要再指定 dst-address-type=local)

FB: Pctine

gfx

gfx
個人積分：1603分
文章編號：52233422

1603分

2438樓

2014-09-21 1:04

pctine wrote:
照理說 to-address=192.168.1.11 就夠了. (不需要再指定 dst-address-type=local)

在沒定義"dst-port"或"in-interface"的狀態下全部轉到to-address
那真的大勢已去,大概Winbox也無從登入,得"重置ROS主機"了.

pctine

pctine
個人積分：5084分
文章編號：52233638

5084分

樓主

2014-09-21 1:20

gfx wrote:
加了dst-address-type=local 只會轉從pppoe-out或固定ip進來的連線;
不加的話含內網與內網的連接一律強制轉到to-address地址...(恕刪)

sorry, 沒有注意到你未指定 interface.

在"沒定義dst-port"或"in-interface"的狀態下全部轉到to-address
那真的大勢已去,大概Winbox也無從登入,得"重置ROS主機"了.

那倒不至於, winbox 連進去修正就好了.

FB: Pctine

gfx

gfx
個人積分：1603分
文章編號：52233923

1603分

2440樓

2014-09-21 1:48

pctine wrote:
那倒不至於, winbox 連進去修正就好了.

呵,您說的有道理~ 我都忘了MAC也可以登入!

不過在一些特殊的情況,
也就是系統被瞎搞搞亂後用Winbox搜尋MAC也不一定搜查的到,
就算搜尋的到也不一定能順利登入系統.

這時後換ROS Port連接再重新搜尋MAC是一個選項,
但用IPv6-ip登入則更容易.

因為大多情況都是IPv4系統亂掉,但IPv6出包的情況卻很少.
因此我將IPv6 WAN/LAN IP (fe80::xxx.xxx.xxx.xxx)記錄在文字檔,
只要IPv4出問題就請出"區網IPv6-ip"出來救急.

這種救急的情況已經反複發生好幾回,但救來總會驚呼"真危險!!"