• 860

[研究所] MikroTik RouterOS 學習 (持續更新)

gfx wrote:
如果小烏龜在這網路...(恕刪)


弄好了,搞好久!

數據機那也不用設,因為全部都是同網域

只要改一個設定就好!

pppoe-out1改橋接

我今天突然網路瞬斷 , 去看log 發現我的eth2 那塊loop


處理方式interfce ethr2 loop protect 開 on
一開始沒有什麼大問題,重開router os eth2直接port down

小弟想問大大們~~遇到這問題要怎麼處理~
我看網卡mac是本身eth2問題跟其他mac無關

本身nat有設定nat loopback

pctine wrote:
前幾週經由網友介紹購...(恕刪)

最近入手一台RB760iGS
請問有沒有 可以記錄PPPOE撥接到的IP到SD卡 的腳本嗎
還有 SNTP last adjustment 這一格時間越來越大 是正常的嗎
tiaol88 wrote:
最近入手一台RB760iGS...(恕刪)


system logging

建立新的LOG to disk

files 會產生 log0





system disk

是否要格式化記憶卡或隨身碟


New Terminal

輸入/system logging action add name=microSD target=disk disk-file-name=<directory of microSD>/log

USB則/system logging action add name=Usb target=disk disk-file-name=disk1/log



最後system logging,把建立好的Rules 和 Actions,進入設定改為USB或microSD



各位前輩好

小弟最近也開始買台router os的機器來學習,目前有個關於NAT的疑問想請教。
小弟的nat裡有一條如下,

/ip firewall nat
chain=srcnat action=masquerade src-address=192.168.1.0/24 log=no
log-prefix=""

就我的理解,這條可以讓我區網的電腦透過換掉src ip(192.168.1.x)成router 的global ip連到internet。而我的區網裡有台NAS,在上面這條沒有紅色字體的部份(即src-address)時,從internet連進我nas的ip,都是router的ip(192.168.1.1),例如從公司的電腦透過ftp連回家裡的nas,我nas上看到的客戶端ip都是192.168.1.1,但加上紅色字體部份後,我的nas就能夠看到客戶端的真實ip。

小弟不理解的是,這條chain=srcnat不就是封包從local network往internet送時,才會用的到嗎? 為何我加上了src-address後,我nas上卻又能看到客戶端的真實ip呢??
victor10 wrote:
各位前輩好小弟最近...(恕刪)

chain=srcnat => 離開路由器
chain=dstnat => 進入路由器

action=src-nat => 將來源地址偽裝成指定地址
action=dst-nat => 將目地地址偽裝成指定地址
action=masquerade => 將來源地址偽裝成本地地址(路由器)
action=redirect => 將目的地址偽裝成本地地址(路由器)

src-address => 來源地址
dst-address => 目地地址
in-interface => 來源端口
out-interface => 目地端口

所以...
chain=srcnat action=masquerade src-address=192.168.1.0/24
即為:將來源192.168.1.0/24連外(離開路由器)的ip,偽裝成路由器(本地)地址。

但這樣列會有很大問題,若路由器建了另一個網段192.168.2.0/24
因上面的規則命192.168.1.0/24連出都要先偽裝成路由器地址,
這樣192.168.2.0/24查連線進來的地址只會有路由器的地址,而非192.168.1.x的地址。

所以偽裝應該這樣做才算是佳:
方案1:
chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=!192.168.2.0/24
將目地192.168.2.0/24設為例外,這樣連接這個網段時就不會再偽裝成路由器ip。

方案2:
chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=pppoe-out1
當目地出口為pppoe-out1(網際網路),才將來源192.168.1.0/24的ip偽裝成路由器地址。

以上是對來源地址進行偽裝(action=src-nat);
反推對目的地址(action=dst-nat)進行偽裝,相信也很容易進行思考。

tenz9596 wrote:
system logging...(恕刪)

https://i.imgur.com/KPOflCD.png
請問一下 沒有出現microSD 的選項 我是不是有地方設定錯
log.0.txt 有出現

billese10 wrote:
我今天突然網路瞬斷 ...(恕刪)


檢查一下,網路上是否有兩條線都接到SWITCH造成
hschang wrote:



檢查一下,網路...(恕刪)

檢查過了,在router os後面有分接一條L2 Switch ,我有嘗試把router os 重置倒回去之前備份config ,剛才也遇到loop....

gfx wrote:
chain=srcnat...(恕刪)


感謝大大。
稍微消化一下來理解,所以若沒有指定src address或其它條件的話,如下
/ip firewall nat
chain=srcnat action=masquerade log=no log-prefix=""

這樣就會對所有封包(不管LAN to Internet或Internet to LAN)的封包進行偽裝,若我加上src-address,如下
/ip firewall nat
chain=srcnat action=masquerade src-address=192.168.1.0/24 log=no log-prefix=""

這樣就只會對192.168.1.0/24這個網段做偽裝,從internet連進我NAS的IP就不會偽裝,所以我才看的到連進我NAS裡客戶端的實體IP,這樣的理解是對的嗎?



另外我似乎對於chain=srcnat、chain=dstnat 有些誤解,我本來以為從internet進來到LAN的封包都是dstnat才會作用,然後srcnat都是LAN到internet的封包才會作用,但從gfx大的解釋加上我對上面的理解,不管封包是從internet或是LAN過來,只要進入router的封包都會作用在dstnat,這樣的理解是否正確呢??
  • 860
內文搜尋
X
評分
評分
複製連結
請輸入您要前往的頁數(1 ~ 860)
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?