[SOLVED] Přesměrování portu služeb na routeru při přístupu z WAN

DanC

Na routeru se systémem RouterOS běží služby jako ssh server, WebFig nebo winbox na svých defaultních portech.

Běžně používám port forwarding, kdy přesměrovávám provoz z WAN do lokální sítě a při tom měním port pro cílový stroj.
Jak je toto možné napodobit pro služby běžící na samotném routeru, kdy se provoz vůbec do lokální sítě nedostane?
Rád bych se např. na WAN IP routeru a portu 2222 připojil k ssh serveru běžící na Mikrotiku na portu 22 a zároveň, aby lokální síť stále používala port 22 při lokální adrese routeru.

Uvažoval jsem něco ve smyslu iptables
iptables -t nat -A PREROUTING -i wan0 -p tcp --dport 2222 -j REDIRECT --to-port 22
, ale to jistě nebude řešit celý můj problém.

Děkuji za radu

tulo

Porty sluzieb routra zmenis ip services

DanC

To ano, ale nejde mi přidat více portů na kterém služba poslouchá

ludvik

RouterOS je linux. Nehledej v tom žádné extra záludnosti (ve většině případů).

DanC

ludvik Právě na linuxu bych jen přidal další port, kde sshd poslouchá a k tomu bych otevřel firewall stejně jako v Mirotiku /ip firewall filter add action=accept chain=input dst-port=2222 protocol=tcp.
Když tohle nejde, potřebuji ten WAN nějak přesměrovávat z 2222 na 22 přímo v input chainu, jen nevím jak.

ludvik

A co máš proti tomu redirect?

DanC

ludvik Nevím, jak ho zapsat v mikrotiku. Zkoušel jsem /ip firewall nat chain=dstnat action=redirect to-ports=22 protocol=tcp in-interface=WAN_VDSL src-port=2222, ale to jsem byl vedle. Určitě to má nějaké jednoduché řešení, jen se mi ho nedaří nalézt.

iTomB

A jakej mas duvod, mit k jedny uplne stejny sluzbe vice portu?

DanC

iTomB Byla by to zkratka, jak neřešit redirect. Prostě by z WANu byl otevřený 2222 a z lanu by byly otevřené oba. Čistější řešení to bude samozřejmě přesměrovávat.

ludvik

DanC Když nevíš, je lepší použít winbox a prostě si to naklikat.

Ale máš tam chybu. Nechceš redirect zdrojového portu, ale cílového ...

martas

DanC Není tady nutné místo src-port dát dat-port?

iTomB

DanC resim to jednoduseji ... Otevru si port z venku z IP co znam a treba i sit mobilniho operatora a pokud to potrebuju extra, mam funkcni portknocking. Takze univerzalni a daleko lepsi, nez jen jine cislo portu ...

DanC

iTomB To mi připadá komplexnější, portknocking zatím neuvažuji. 22 na WANu je zabraná, takže s administrací routeru musím uhnout jinam (ale v lokální síti má zůstat standardně na 22). Přeci, když v LAN máte n ssh serverů poslouchajících na 22, jednoduše jim přidělíte rozsah portů na veřejné ip adrese. Stejně tak chci přerozdělit porty samotného routeru, avšak nyní bez NATu.

DanC

Po chvíli zkoušení a čtení návodů se mi můj problém podařilo vyřešit.
Jak psal @martas měl jsem tam prohozené src-port a dst-port. Dále mě zmátlo, že nat je v packet flow zařazen před filter a tedy jsem otvíral port, který byl už přesměrovaný na cílový, ale ten byl defaultně zavřený. Abych však zamezil, přímý provoz na cílovém portu, značím si v mangle connection na portě před přesměrování a poté pouze otevřu port pro všechny takto značené spojení. Konkrétně mám tyto pravidla:

/ip firewall mangle chain=prerouting action=mark-connection new-connection-mark=m-redirect passthrough=yes protocol=tcp dst-port=2222
/ip firewall nat    chain=dstnat action=redirect to-ports=22 protocol=tcp in-interface=VDSL dst-port=2222
/ip firewall filter chain=input action=accept protocol=tcp connection-mark=m-redirect in-interface=VDSL

Rád uslyším případné nedostatky tohoto řešení.