[研究所] MikroTik RouterOS 學習 (持續更新) (第470頁)

gfx
個人積分：1603分
文章編號：59916327

1603分

4691樓

2016-04-20 1:00

jeremy9678 wrote:
gfx大一直不明白...(恕刪)

設定action=accept後,下面規則有包含到範圍內的則省略.
如 NAT上網設定:
/ip firewall nat
add chain=src-nat out-interface=pppoe-out1 action=masquerad

若是我加上一筆accept ,擺在上網設定之前:
add chain=src-nat src-address=192.168.1.10 action=accept
這樣會變成192.168.1.0/24都可上網,但唯獨192.168.1.10例外不可以.

不管做filter /nat /mangle ,action=accept都會有這種效果.
一個很大範圍中,需少數排除...這麼做很有用.

您在小弟建的mangle 應該會發現最頂端的位置有3個action=accept吧.
這等同宣告下面的路由標記,若是涵蓋到"內網對內網",或是"內網對路由器"的情形.
全都省缺不處理,這下明白了吧

filter也是,只要被標到action=accept的. 遇封鎖全都不算數..

宅就是顧家

宅就是顧家
個人積分：116分
文章編號：59921922

116分

4692樓

2016-04-20 13:15

請問一下NAT Loopback如果還想要轉port 辦的到嗎? 就是114.x.x.x:90->192.168.0.100:80 這樣
我剛試了一下 port不轉的NAT Loopback都算正常要轉port的都不行XD

我設定大概是下面這樣

gfx

gfx
個人積分：1603分
文章編號：59922164

1603分

4693樓

2016-04-20 13:33

宅就是顧家 wrote:
請問一下NAT Loopback...(恕刪)

把錯誤嘗試的的nat loopback刪掉,在nat新增這:

再擺在nat設定的最下面,這樣就可nat loopback ,在內網使用wan-ip做映射.

jeremy9678

jeremy9678
個人積分：67分
文章編號：59929604

67分

4694樓

2016-04-21 0:07

gfx wrote:
設定action=accept...(恕刪)

謝謝gfx大這麼解說就清楚多,這樣我也終於明白它的用意為何了
不然之前真的一頭霧水,舉例說明真的較快明白

eavictor

eavictor
個人積分：6分
文章編號：59977912

6分

4695樓

2016-04-25 9:44

近期我會把GeoIP的服務暫時撤掉，收到ConoHa警告流量過大

目前測試用Python3+MariaDB執行速度比原來的更快，等我改寫完會把服務重新放到歐洲的VPS上面。
他們給資源比較大方

NeverGiveUp!!!

NeverGiveUp!!!
個人積分：58分
文章編號：60002235

58分

4696樓

2016-04-27 2:19

v6.35.1

pctine wrote:
RouterOS v6...(恕刪)

Ｃｌｏｓｅｒ：世界在變，我隨之而變．我心則續於寧靜．　：）物質無法取代的快樂之大小便是真理！\ｍ/

wiss075

wiss075
個人積分：56分
文章編號：60123490

56分

4697樓

2016-05-07 0:12

前輩好，小弟剛入手RB850不久，最近申請一組DDNS剛好碰上NAT Loopback的問題想請教。

我已經設定一組NAT lookback參數為
chain=srcnat action=masquerade src-address=192.168.1.0/24
out-interface=pppoe-out1 log=no log-prefix=""

但因為有NAS所以開了5052、1100兩個Port，在映射方面都打通了，但telnet xxx.no-ip.org 5052卻不通。

問題一:請問我如果新增兩條映射是否就要開兩條rule做NAT Loopback呢?
問題二:請問有辦法將所開的port用一條rule做掉嗎?

因為我用另一台N16刷蕃茄，他可以直接開啟Forwarded only，想說不知道ROS是不是也能做到一條Rule就做到問題二。

不好意思，問題較初階，邏輯還不是很懂，麻煩幫忙解惑，謝謝 orz

TONYTC

TONYTC
個人積分：0分
文章編號：60123821

0分

4698樓

2016-05-07 0:58

wiss075 wrote:
前輩好，小弟剛入手RB850...(恕刪)

請看4693樓,不知道對不對?

kclonline

kclonline
個人積分：11分
文章編號：60123970

11分

4699樓

2016-05-07 1:22

What's new in 6.35.2 (2016-May-02 10:09):

*) discovery - fixed identity discovery (introduced in 6.35.1);
*) firewall - fixed policy routing configurations (introduced in 6.35rc38);
*) log - fixed time zone adjustment (introduced in 6.35.1);
*) queue - fixed interface queue type for ovpn tunnels;
*) snmp - fixed snmp timeout (introduced in 6.35.1);
*) vrrp - fixed missing vrrp interfaces after upgrade (introduced in 6.35.1).

gfx

gfx
個人積分：1603分
文章編號：60124055

1603分

4700樓

2016-05-07 1:37

wiss075 wrote:
但telnet xxx.no-ip.org 5052卻不通。
問題一:請問我如果新增兩條映射是否就要開兩條rule做NAT Loopback呢?

nat loopback做法與您想的不太一樣...
http://www.mobile01.com/topicdetail.php?f=110&t=4351800

問題一:請問我如果新增兩條映射是否就要開兩條rule做NAT Loopback呢?

先將您加入的映射關閉,然後用new terminal的文字視窗貼上下面的內容.
假設您的nas ip為192.168.1.10

/ip firewall nat
add action=dst-nat chain=dstnat protocol=tcp dst-port=5052,1100 dst-address-type=local \
to-addresses=192.168.1.10
add action=masquerade chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.0/24
#是一次全複製貼上,非一次一列

然後再請思考連結討論的內容,想必您會有更深層的體悟.

問題二:請問有辦法將所開的port用一條rule做掉嗎?

您是說dmz嗎? 可以的,但浮動ip使用dmz + nat-loopback要搭配script.
若script不會寫,請私信小弟.