发夹NAT问题

mike6715b · 2022年4月24日星期日晚上8:19

你好,
我最近发布了关于发夹NAT的问题。这一次，我将它配置为访问traefik后面的家庭服务器。
我遵循了中概述的配置这后，并没有能够得到它的工作。
上次的问题是我的防火墙规则允许端口转发，它被设置为允许在WAN接口上。
我把路由器升级为长期路由器，重启后没有效果。
配置包括在内。

anav · 2022年4月24日星期日晚上8:39

(1)乱序输入链式规则，需要做功。固定! !不需要连接状态-新在你的规则......

/ip防火墙过滤器add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: drop invalid"\ in-interface=bridge src-address-list="Home Users" add action=accept chain=input comment="允许所有用户访问路由器dns服务" \ dst-port=53 in-interface-list=LAN protocol=tcp add action=accept chain=input comment="允许所有用户访问路由器dns服务" \ dst-port=53 in-interface-list=LAN protocol=udp add action=drop chain=input comment= inputcomment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=drop chain=input comment=" drop everything else"

(2)然而，最后第二条规则基本上是无用的。
添加action =下降链=输入评论= " defconf:drop所有不是来自局域网" \
in-interface-list = !局域网

A.它与之前的规则相矛盾，你只希望管理员访问路由器，而这个规则允许局域网中的任何人都可以访问完整的路由器
B.你接下来有drop规则，所以所有的流量都会在这一点上被丢弃。

(4)转发链订单，不需要新的.........

添加操作=accept chain=forward comment=\ "defconf: accept established,related,untracked " connection-state=\ established,related,untracked添加操作=drop chain=forward comment="defconf:“允许端口转发”\ connect -nat-state=dstnat add action=accept chain=forward comment="Internet Access" in-interface-list=\ LAN out-interface-list=WAN add action=drop chain=forward comment=" drop everything else .

发夹NAT规则不完整??
/ip防火墙NAT
add action=化妆舞会链=srcnat comment="发夹NAT"连接标记=\
Hairpin-NAT

你能再解释一下为什么你试图破坏发夹nat的交通吗?

发出呜咽声 · 2022年4月24日星期日晚上8:42

你在克罗地亚plist列表中添加10.20.0.0/24和10.20.10.0/24了吗?

发出呜咽声 · 2022年4月24日星期日晚上8:48

@anav:评分是基于链接的帖子。没有它也可以做到，但这并没有错，只是方法略有不同。在好的方面，它只对100%需要发夹NAT的连接进行srcnat。在这种情况下，我没有看到任何附加价值，但它可以帮助一些配置，例如与vpn，客户端从LAN范围获得地址。

mike6715b · 2022年4月24日星期日晚上8:50

谢谢你这么快的回复。
想要在家里做测试和家庭实验室之类的东西。
例子:我有一个网站托管在homelab，想使用traefik作为反向代理，这样当我去nginx.example.com它会去那个nginx实例，但当我去portfolio.example.com它会去一个投资组合网站。
因为我在提到的帖子中看到过它的使用。和其他服务，我想能够连接访问他们与一个公共IP，而生病的本地网络。

mike6715b · 2022年4月24日星期日晚上8:52

你在克罗地亚plist列表中添加10.20.0.0/24和10.20.10.0/24了吗?

耶稣…有时候我觉得自己很蠢……这就是问题所在。谢谢!
也感谢@anav的修复与这篇文章无关，它实际上真的很感激。

mike6715b · 2022年4月24日星期日晚上8:53

@anav:评分是基于链接的帖子。没有它也可以做到，但这并没有错，只是方法略有不同。在好的方面，它只对100%需要发夹NAT的连接进行srcnat。在这种情况下，我没有看到任何附加价值，但它可以帮助一些配置，例如与vpn，客户端从LAN范围获得地址。

对于VPN来说确实如此，所以它不涉及任何其他流量。

发出呜咽声 · 2022年4月24日星期日晚上9:18

但是你好像没有这样的VPN。

在@anav问之前，这是当你有例如局域网192.168.80.8 /24，但不是为VPN客户端使用不同的子网(如192.168.80.9 /24)，你也给他们192.168.88。x，使能LAN接口上的代理ARP。这样做的原因可能是如果你懒得改变其他设备的防火墙，默认情况下只允许从本地子网访问。如果源为另一个192.168.88。X，对他们来说，这似乎是本地的，即使不是。另一个原因是旧的Windows没有任何好的方法来为VPN连接添加路由，所以你可以通过VPN路由所有的东西(包括访问互联网)，或者你必须手动添加到不同的远程子网的路由。但是如果客户端得到192.168.88。X时，自动添加到192.168.80.8 /24的路由。在新版本中(我认为是Win10之后)不再需要它了，因为它们有添加路由的机制。通常发夹NAT规则(只有src/dst-address=<本地子网>)的问题是，它甚至匹配来自远程VPN客户端192.168.88的连接。X到本地服务器192.168.88.y。

anav · 2022年4月24日星期日晚上11:39

好的，我得到了一点，基本上是在预路由中为所有LAN用户指向广域网的连接标记。
然后在源nat规则中，任何带有这些标记的流量都会伪装到出接口.....

不知道这怎么等同于发夹nat，尽管......

发出呜咽声 · 2022年4月25日星期一上午12:04

发夹NAT是一种srcnat规则，用于从LAN客户端通过WAN地址到LAN服务器的流量。这里也有。如果是从局域网到广域网的地址，它会被标记。如果有dstnat从WAN地址到LAN，它会回到LAN。如果有标记，就会伪装。

anav · 2022年4月25日星期一凌晨1:03

发夹NAT是一种srcnat规则，用于从LAN客户端通过WAN地址到LAN服务器的流量。这里也有。如果是从局域网到广域网的地址，它会被标记。如果有dstnat从WAN地址到LAN，它会回到LAN。如果有标记，就会伪装。

非常好，但是我想我需要一个冗长的MKX解释，哈哈。

在任何情况下，你暗示这可以用来区分用户，即使来自同一个子网????

发出呜咽声 · 2022年4月25日星期一凌晨2:26

如果需要，则简单netmap为整个子网(如中所述这篇文章在你的帖子中)不够好，如果我没有误解你的意思，那么是的。但我仍然觉得它基本上毫无意义。你会用它做什么?

发夹NAT问题 (解决)

发夹NAT问题

回复:发夹NAT问题

回复:发夹NAT问题(解决)

回复:发夹NAT问题

回复:发夹NAT问题

回复:发夹NAT问题

回复:发夹NAT问题

回复:发夹NAT问题

回复:发夹NAT问题

回复:发夹NAT问题

回复:发夹NAT问题

回复:发夹NAT问题

谁在线