Hairpin NAT и изоляция внутренних подсетей

@ewgenik · Регистрация: 29.08.2016

Студворк — интернет-сервис помощи студентам

Интернет (2.2.2.2) и две локальные подсети (192.168.1.0/24 и 192.168.2.0/24) подключены к одному маршрутизатору. Необходимо сделать доступ к вебсерверу 192.168.2.10 из подсети 192.168.1.0/24 через внешний ip 2.2.2.2
На этом этапе все просто, Hairpin NAT:

Код

/ip firewall nat
add chain=srcnat out-interface=WAN action=masquerade
add chain=dstnat dst-address=2.2.2.2 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.2.10
add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.2.10 protocol=tcp dst-port=80 action=masquerade

До этого момента все работает.

Теперь нужно изолировать друг от друга внутренние подсети, но при этом оставить возможность из первой подсети (192.168.1.0/24) через внешний адрес заходить на вебсервер (http://2.2.2.2).

Как только включаю фильтры на FW, например:

Код

/ip firewall filter
add action=drop chain=forward disabled=yes dst-address=192.168.3.0/24 src-address=192.168.1.0/24
add action=drop chain=forward disabled=yes dst-address=192.168.1.0/24 src-address=192.168.3.0/24

или правила маршрутизации:

Код

/ip route rule
add action=unreachable dst-address=192.168.3.0/24 src-address=192.168.1.0/24
add action=unreachable dst-address=192.168.1.0/24 src-address=192.168.3.0/24

доступ из сети 192.168.1.0/24 к вебсерверу по адресу http://2.2.2.2 пропадает, при этом доступ из «интернета» к http://2.2.2.2 остается.

Как изолировать подсети, так чтобы оставfлся доступ к вебсерверу из внутренней подсети?

@insect_87 · 25.05.2021, 09:27

покажите

Код

export compact

@romsan · 25.05.2021, 09:34

Сообщение от ewgenik

доступ к вебсерверу 192.168.2.10

занести адрес 2.10/24 в address-list. В правилах блокировки между подсетями, прописать исключение на этот address-list

@insect_87 · 25.05.2021, 10:08

я один тут вижу три внутренних сети?
или так и есть?

Если сети все же две, тогда выше запрещающего весь трафик по цепочке forward правила поставить эти правила

Код

ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward dst-address=192.168.2.10 src-address=192.168.1.0/24
add action=drop chain=forward dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.2.0/24

Сообщение от ewgenik

или правила маршрутизации:

там вообще ничего делать не надо, не для такого случая эти правила используются

@romsan · 25.05.2021, 10:43

Сообщение от insect_87

я один тут вижу три внутренних сети?

скорее всего ТС ошибся - пишет о 2-х сетях, а в коде 3.0/24 указывает

Сообщение от insect_87

add action=accept chain=forward dst-address=192.168.2.10 src-address=192.168.1.0/24

этим разрешаем "туда", а для обратных пакетов? Ведь "от туда" запрещено правилом:

Сообщение от insect_87

add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.2.0/24

Добавлено через 6 минут
хотя, да, "от туда" - это уже established соединение будет.

@insect_87 · 25.05.2021, 10:50

Сообщение от romsan

этим разрешаем "туда", а для обратных пакетов? Ведь "от туда" запрещено правилом:

Сообщение от romsan

хотя, да, "от туда" - это уже established соединение будет.

@ewgenik · 25.05.2021, 11:23 **[ТС]**

Сообщение от insect_87

я один тут вижу три внутренних сети?
или так и есть?

Прошу прощения, в коде опечатался, на самом деле две сети.

Сообщение от insect_87

Сообщение от ewgenik
или правила маршрутизации:
там вообще ничего делать не надо, не для такого случая эти правила используются

понял, благодарю.

Сообщение от insect_87

ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward dst-address=192.168.2.10 src-address=192.168.1.0/24

Я понимаю, что если так сделать, то заработает. Но в этом случае сети уже будут менее изолированы.

Я думал, что если мы имеем

Код

add chain=srcnat out-interface=WAN action=masquerade

то при обращении из локальной сети 192.168.1.0/24 к адресу http://2.2.2.2 на вебсервер 192.168.2.10 придут пакеты с src-address=192.168.2.1 (маскарадинг же), и по идее правила firewall`а

Код

add action=drop chain=forward disabled=yes dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=drop chain=forward disabled=yes dst-address=192.168.1.0/24 src-address=192.168.2.0/24

не должны дропнуть не исходящие не обратные пакеты.

@insect_87 · 25.05.2021, 11:35

Сообщение от ewgenik

то при обращении из локальной сети 192.168.1.0/24 к адресу http://2.2.2.2 на вебсервер 192.168.2.10 придут пакеты с src-address=192.168.2.1 (маскарадинг же), и по идее правила firewall`а

не правильно вы поняли,
на роутер придет пакет в виде S:192.168.1.x D:2.2.2.2,
сначала отработает dst-nat и пакет примет вид: S:192.168.1.x D:192.168.2.10,
далее пакет будет проходить цепочку filter forward, для которой мы и пишем правила accept/drop,
и уже только потом отработает src-nat и пакет примет вид S: 192.168.2.1 D: 192.168.2.10,
затем пакет выйдет из роутера

Сообщение от ewgenik

Но в этом случае сети уже будут менее изолированы.

чем это?
все так же и будут изолированы, но из сети 1.0 будет открыт доступ только к 2.10

@insect_87 · 25.05.2021, 11:43

вот так все это будет

@insect_87 · 25.05.2021, 11:49

Сообщение от ewgenik

add chain=srcnat out-interface=WAN action=masquerade

вообще не имеет отношения к пакетам между внутренними сетями, этот нат отработает, только если решением маршрутизации (3) пакет будет отправлен на интерфейс из списка WAN
у вас интерфейсы с адресами 192.168.1.1 и 192.168.2.1, в списке WAN как я полагаю, не присутствуют

@ewgenik · 25.05.2021, 11:59 **[ТС]**

Сообщение от insect_87

чем это?
все так же и будут изолированы, но из сети 1.0 будет открыт доступ только к 2.10

я так понимаю, что из сети 1.0 можно будет напрямую обратиться к http://192.168.2.10 и связь будет работать уже не через маскарадинг. Таким образом вебсервер на 192.168.2.10 увидит пакеты от 192.168.1.0/24. Это уже не изоляция. Или ошибаюсь?

Добавлено через 3 минуты

Сообщение от insect_87

Сообщение от ewgenik
add chain=srcnat out-interface=WAN action=masquerade
вообще не имеет отношения к пакетам между внутренними сетями, этот нат отработает, только если решением маршрутизации (3) пакет будет отправлен на интерфейс из списка WAN
у вас интерфейсы с адресами 192.168.1.1 и 192.168.2.1, в списке WAN как я полагаю, не присутствуют

Я тут опять ошибся, я должен был вот это правило процитировать:

Код

add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.2.10 protocol=tcp dst-port=80 action=masquerade

Добавлено через 57 секунд

Сообщение от insect_87

вот так все это будет

Снимаю шляпу!

@insect_87 · 25.05.2021, 12:54

Сообщение от ewgenik

я так понимаю, что из сети 1.0 можно будет напрямую обратиться к http://192.168.2.10 и связь будет работать уже не через маскарадинг.

да.
покажите

Код

export compact

в правилах файрволла есть флаг connection-nat-state=dstnat

вот так попробуйте:

Код

ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward dst-address=192.168.2.10 src-address=192.168.1.0/24 connection-nat-state=dstnat 
add action=drop chain=forward dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.2.0/24

таким образом из сети 192.168.1.0/24 доступ к веб-серверу должен быть только по адресу 2.2.2.2

@ewgenik · 26.05.2021, 04:07 **[ТС]**

Сообщение от insect_87

в правилах файрволла есть флаг connection-nat-state=dstnat

Вот оно! Благодарю!

@ewgenik 0 / 0 / 0 Регистрация: 29.08.2016 Сообщений: 17
	26.05.2021, 04:07 [ТС]	13
	Сообщение от insect_87 в правилах файрволла есть флаг connection-nat-state=dstnat Вот оно! Благодарю! 0

@insect_87 Модератор 11411 / 6981 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	25.05.2021, 09:27	2
	покажите Код export compact 0

@romsan 4706 / 2084 / 447 Регистрация: 17.10.2015 Сообщений: 8,953
	25.05.2021, 09:34	3
	Сообщение от ewgenik доступ к вебсерверу 192.168.2.10 занести адрес 2.10/24 в address-list. В правилах блокировки между подсетями, прописать исключение на этот address-list 0

@insect_87 Модератор 11411 / 6981 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	25.05.2021, 10:08	4
	я один тут вижу три внутренних сети? или так и есть? Если сети все же две, тогда выше запрещающего весь трафик по цепочке forward правила поставить эти правила Код ip firewall filter add action=accept chain=forward connection-state=established,related add action=accept chain=forward dst-address=192.168.2.10 src-address=192.168.1.0/24 add action=drop chain=forward dst-address=192.168.2.0/24 src-address=192.168.1.0/24 add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.2.0/24 Сообщение от ewgenik или правила маршрутизации: там вообще ничего делать не надо, не для такого случая эти правила используются 1

@romsan 4706 / 2084 / 447 Регистрация: 17.10.2015 Сообщений: 8,953
	25.05.2021, 10:43	5
	Сообщение от insect_87 я один тут вижу три внутренних сети? скорее всего ТС ошибся - пишет о 2-х сетях, а в коде 3.0/24 указывает Сообщение от insect_87 add action=accept chain=forward dst-address=192.168.2.10 src-address=192.168.1.0/24 этим разрешаем "туда", а для обратных пакетов? Ведь "от туда" запрещено правилом: Сообщение от insect_87 add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.2.0/24 Добавлено через 6 минут хотя, да, "от туда" - это уже established соединение будет. 0

@insect_87 Модератор 11411 / 6981 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	25.05.2021, 10:50	6
	Сообщение от romsan этим разрешаем "туда", а для обратных пакетов? Ведь "от туда" запрещено правилом: Сообщение от romsan хотя, да, "от туда" - это уже established соединение будет. 0

@ewgenik 0 / 0 / 0 Регистрация: 29.08.2016 Сообщений: 17
	25.05.2021, 11:23 [ТС]	7
	Сообщение от insect_87 я один тут вижу три внутренних сети? или так и есть? Прошу прощения, в коде опечатался, на самом деле две сети. Сообщение от insect_87 Сообщение от ewgenik или правила маршрутизации: там вообще ничего делать не надо, не для такого случая эти правила используются понял, благодарю. Сообщение от insect_87 ip firewall filter add action=accept chain=forward connection-state=established,related add action=accept chain=forward dst-address=192.168.2.10 src-address=192.168.1.0/24 Я понимаю, что если так сделать, то заработает. Но в этом случае сети уже будут менее изолированы. Я думал, что если мы имеем Код add chain=srcnat out-interface=WAN action=masquerade то при обращении из локальной сети 192.168.1.0/24 к адресу http://2.2.2.2 на вебсервер 192.168.2.10 придут пакеты с src-address=192.168.2.1 (маскарадинг же), и по идее правила firewall`а Код add action=drop chain=forward disabled=yes dst-address=192.168.2.0/24 src-address=192.168.1.0/24 add action=drop chain=forward disabled=yes dst-address=192.168.1.0/24 src-address=192.168.2.0/24 не должны дропнуть не исходящие не обратные пакеты. 0

@insect_87 Модератор 11411 / 6981 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	25.05.2021, 11:35	8
	Сообщение от ewgenik то при обращении из локальной сети 192.168.1.0/24 к адресу http://2.2.2.2 на вебсервер 192.168.2.10 придут пакеты с src-address=192.168.2.1 (маскарадинг же), и по идее правила firewall`а не правильно вы поняли, на роутер придет пакет в виде S:192.168.1.x D:2.2.2.2, сначала отработает dst-nat и пакет примет вид: S:192.168.1.x D:192.168.2.10, далее пакет будет проходить цепочку filter forward, для которой мы и пишем правила accept/drop, и уже только потом отработает src-nat и пакет примет вид S: 192.168.2.1 D: 192.168.2.10, затем пакет выйдет из роутера Сообщение от ewgenik Но в этом случае сети уже будут менее изолированы. чем это? все так же и будут изолированы, но из сети 1.0 будет открыт доступ только к 2.10 0

@insect_87 Модератор 11411 / 6981 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	25.05.2021, 11:43	9
	вот так все это будет Миниатюры 1

@insect_87 Модератор 11411 / 6981 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	25.05.2021, 11:49	10
	Сообщение от ewgenik add chain=srcnat out-interface=WAN action=masquerade вообще не имеет отношения к пакетам между внутренними сетями, этот нат отработает, только если решением маршрутизации (3) пакет будет отправлен на интерфейс из списка WAN у вас интерфейсы с адресами 192.168.1.1 и 192.168.2.1, в списке WAN как я полагаю, не присутствуют 0

@ewgenik 0 / 0 / 0 Регистрация: 29.08.2016 Сообщений: 17
	25.05.2021, 11:59 [ТС]	11
	Сообщение от insect_87 чем это? все так же и будут изолированы, но из сети 1.0 будет открыт доступ только к 2.10 я так понимаю, что из сети 1.0 можно будет напрямую обратиться к http://192.168.2.10 и связь будет работать уже не через маскарадинг. Таким образом вебсервер на 192.168.2.10 увидит пакеты от 192.168.1.0/24. Это уже не изоляция. Или ошибаюсь? Добавлено через 3 минуты Сообщение от insect_87 Сообщение от ewgenik add chain=srcnat out-interface=WAN action=masquerade вообще не имеет отношения к пакетам между внутренними сетями, этот нат отработает, только если решением маршрутизации (3) пакет будет отправлен на интерфейс из списка WAN у вас интерфейсы с адресами 192.168.1.1 и 192.168.2.1, в списке WAN как я полагаю, не присутствуют Я тут опять ошибся, я должен был вот это правило процитировать: Код add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.2.10 protocol=tcp dst-port=80 action=masquerade Добавлено через 57 секунд Сообщение от insect_87 вот так все это будет Снимаю шляпу! 0

Опции темы

@insect_87 Модератор 11411 / 6981 / 1899 Регистрация: 25.12.2012 Сообщений: 29,387
	25.05.2021, 12:54	12
	Сообщение было отмечено ewgenik как решение Решение Сообщение от ewgenik я так понимаю, что из сети 1.0 можно будет напрямую обратиться к http://192.168.2.10 и связь будет работать уже не через маскарадинг. да. покажите Код export compact в правилах файрволла есть флаг connection-nat-state=dstnat вот так попробуйте: Код ip firewall filter add action=accept chain=forward connection-state=established,related add action=accept chain=forward dst-address=192.168.2.10 src-address=192.168.1.0/24 connection-nat-state=dstnat add action=drop chain=forward dst-address=192.168.2.0/24 src-address=192.168.1.0/24 add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.2.0/24 таким образом из сети 192.168.1.0/24 доступ к веб-серверу должен быть только по адресу 2.2.2.2 1

Hairpin NAT и изоляция внутренних подсетей

Решение