2 votos

NAT SMTP a un público específico IP en un Mikrotik

Hemos tenido algunos píos que nos proporcionó un Mikrotik con nuestra conexión de fibra, pero desde entonces han cambiado el contrato a otro proveedor, y no quiero que me ayude a configurar el dispositivo. Necesito desesperadamente una mano, estoy fuera de mi profundidad.

Tenemos algunas IPs públicas 154.117.185.242 - todo el tráfico normal, surf, invitado wifi en este 154.117.185.243 - nuestro servidor web :80 es en este 192.168.10.157 :80 154.117.185.244 154.117.185.245 - otro servidor web :80 en este 192.168.10.9 :80 154.117.185.246

Por alguna razón 154.117.185.243 ha sido mayormente blaklisted, creo que alguien tenía un virus. Así que me quiero mover saliente SMTP (puerto 25), de 154.117.185.242 a 154.117.185.244 para que las personas puedan recibir su correo transaccional.

Traté de crear esta regla: srcnat src.agregar: 192.168.10.157 protocolo de puerto tcp 25 -> acción src-nat para direcciones 154.117.185.244 el puerto 25 (me gustaría poder adjuntar un screen grab)

Pero que no hizo nada.

Para ser honesto, yo no sé ni por dónde empezar a crear esta regla. Realmente necesito ayuda.

Supongo que la respuesta de comunicación de la red también tiene que tener una regla para volver a 192.168.10.157:25 - pero si eso es necesario que yo creo que puedo copiar uno de los webserver reglas y cambiar los números de puerto. Es la regla para el saliente cosas que realmente estoy perplejo.

Gracias

Steve

Editar agregado de exportación de:

# dec/20/2016 21:15:40 by RouterOS 6.30.4
# software id = UUL8-1EL2
#
/ip firewall filter
add action=drop chain=forward src-address=192.168.10.54
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=80 protocol=tcp \
    to-addresses=192.168.10.157 to-ports=80
add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=81 protocol=tcp \
    to-addresses=192.168.10.241 to-ports=81
add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=82 protocol=tcp \
    to-addresses=192.168.10.242 to-ports=82
add action=dst-nat chain=dstnat dst-address=154.117.185.245 dst-port=21-80 protocol=tcp \
    to-addresses=192.168.10.9 to-ports=21-80
add action=src-nat chain=srcnat protocol=tcp src-address=192.168.10.157 src-port=25 \
    to-addresses=154.117.185.245 to-ports=25

y toda la config:

# dec/22/2016 12:53:00 by RouterOS 6.30.4
# software id = UUL8-1EL2
#
/interface ethernet
set [ find default-name=ether1 ] comment="Bitco Fibre"
set [ find default-name=ether2 ] comment=Internal
set [ find default-name=ether3 ] comment=unused
set [ find default-name=ether5 ] comment="Guests Wifi"
set [ find default-name=ether6 ] comment=unused
/ip neighbor discovery
set ether1 comment="Bitco Fibre"
set ether2 comment=Internal
set ether3 comment=unused
set ether5 comment="Guests Wifi"
set ether6 comment=unused
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.22.100-192.168.22.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether5 lease-time=1d10m \
    name=dhcp1
/snmp community
set [ find default=yes ] addresses=154.66.208.0/24
/ip address
add address=154.117.185.243/22 interface=ether1 network=154.117.184.0
add address=192.168.22.2/24 interface=ether5 network=192.168.22.0
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0
add address=154.117.185.245/22 interface=ether1 network=154.117.184.0
add address=154.117.185.242/22 interface=ether1 network=154.117.184.0
add address=154.117.185.244/22 interface=ether1 network=154.117.184.0
/ip dhcp-server network
add address=192.168.22.0/24 dns-server=41.79.80.34,8.8.8.8 gateway=\
    192.168.22.2
/ip dns
set allow-remote-requests=yes servers=41.79.80.34,8.8.8.8
/ip firewall filter
add action=drop chain=forward disabled=yes src-address=192.168.10.109
add action=drop chain=forward disabled=yes src-address=192.168.10.28
add action=drop chain=forward src-address=192.168.10.54
add action=drop chain=forward disabled=yes src-address=192.168.22.116
add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" \
    dst-port=25 protocol=tcp src-address-list=SPAMMER
add action=add-src-to-address-list address-list=SPAMMER address-list-timeout=\
    23h59m59s chain=forward comment=\
    "Detect and add-list SMTP virus or spammers" connection-limit=10,32 \
    dst-port=25 limit=10,5 protocol=tcp
/ip firewall mangle
add action=mark-routing chain=prerouting dst-port=25 new-routing-mark=\
    "Webserver SMTP" passthrough=no protocol=tcp src-address=192.168.10.157
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat comment="webserver port 80" dst-address=\
    154.117.185.243 dst-port=80 protocol=tcp to-addresses=192.168.10.157 \
    to-ports=80
add action=dst-nat chain=dstnat comment=CCTV dst-address=154.117.185.243 \
    dst-port=81 protocol=tcp to-addresses=192.168.10.241 to-ports=81
add action=dst-nat chain=dstnat comment="unused CCTV" dst-address=\
    154.117.185.243 dst-port=82 protocol=tcp to-addresses=192.168.10.242 \
    to-ports=82
add action=dst-nat chain=dstnat comment=xmpie dst-address=154.117.185.245 \
    dst-port=80 protocol=tcp to-addresses=192.168.10.9 to-ports=21-80
/ip route
add comment="send web SMTP through 244" distance=1 gateway=154.117.185.244 \
    routing-mark="Webserver SMTP" scope=255
add distance=1 gateway=154.117.185.217
/ip service
set telnet address=192.168.10.0/24
set ftp address=192.168.10.0/24 disabled=yes
set www address=192.168.10.0/24
set ssh address=192.168.10.0/24
set www-ssl address=192.168.10.0/24
set api address=192.168.10.0/24
set winbox address=192.168.10.0/24
set api-ssl address=192.168.10.0/24
/lcd
set time-interval=hour
/snmp
set enabled=yes
/system clock
set time-zone-name=Africa/Johannesburg
/system identity
set name=Bowens
/system routerboard settings
set protected-routerboot=disabled
/system script
add name=SPAMMERS owner=admin source=":log error \\\"----------Users detected \
    like \\\
    \n    SPAMMERS -------------\\\";\
    \n\\n:foreach i in \\[/ip firewall address-list find \\\
    \n    list=spammer\\] do={:set usser \\[/ip firewall address-list get \\\$\
    i \\\
    \n    address\\];\
    \n\\n:foreach j in=\\[/ip hotspot active find address=\\\$usser\\] \\\
    \n    do={:set ip \\[/ip hotspot active get \\\$j user\\];\
    \n\\n:log error \\\$ip;\
    \n\\n:log \\\
    \n    error \\\$usser} };\" policy=ftp,read,write,policy,test,winbox "
/tool graphing interface
add allow-address=192.168.10.0/24
/tool romon port
add

1voto

Guntis Puntos 329

Si usted ya tiene servidor de correo en el interior, a continuación, debe haber reglas para esa ip. Aquí se muestra que usted tiene el virus. Puedes publicar router config ? /ip firewall export file=fwexport.txt

El cambio de IP no resolver su problema. Usted debe encontrar el equipo infectado.

Editar

Debe de instalación de paquetes de la marca y de la ruta del tráfico SMTP con marcado específico a la entrada específicos. Ver aquí y aquí. Usted debe marcar sólo el tráfico desde el servidor web. En este momento no tengo de repuesto router para probar que. Pero la esperanza de que Usted consigue la idea. También bloquean el tráfico SMTP en las wifi. Cómo detectar infectados o spammer usuarios y temporal bloquear el SMTP de salida

/ip firewall filter add action=drop chain=forward disabled=yes dst-port=25 in-interface=wlan1 log=yes protocol=tcp

Esta regla se bloquea todo el tráfico smtp en el puerto 25 de wlan1 interfaz. Cuando regla correcta, retire disabled=yes o habilitarlo en la GUI.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: