Computer networks Lab 3 proposals

[spiritofnikopol]

Создам отдельную ветку с предложениями по Вашей Лабе №3, что бы не мешать все в куче, потом закроете или удалите. Изучаю Вашу работу, у меня возникли некоторые вопросы и предложения:

1. Когда Вы описываете предварительную настройку Router OS, Вы упускаете описание откуда взялись адреса на WAN интерфейсе. Вы не предполагаете, что там могут быть иные адреса, например если студент будет запускать лабу дома?
2. По моему в настройках пула адресов для DHCP Вы не диапазон указали, а только один адрес 192.168.1.100, я могу заблуждаться, т.к. я всегда настраиваю руками в Winbox, но тут должна быть запись такого вида 192.168.1.100-192.168.1.200. В Вашем случае все заработало только потому то что у Вас один клиент был, добавьте еще один и адрес Вы не получите, потому что они у Вас закончились в пуле.

[spiritofnikopol]

Опечатка, просто бросилось в глаза.

[spiritofnikopol]

Я вот что еще не совсем понял, а по какому адресу должен зайти студент для доступа в Web конфигуратор или это есть в предидущей лабе?

Возможно стоит упомянуть заначение этих полей по умолчанию (admin/"пусто" или что то подобное)

[pupenasan]

Я вот что еще не совсем понял, а по какому адресу должен зайти студент для доступа в Web конфигуратор или это есть в предидущей лабе?

в додатку було вказано як знайти адресу маршрутизатору

[spiritofnikopol]

А тут не стоит указать какие именно команды нужны для этого и где их выполнять? Я имею в виду для RouterOS.

[spiritofnikopol]

В разделе про NAT рекомендую Вам показать соответствующую вкладку в файерволе до и после включения, что бы было видно куда прописывается правило. Также стоит упомянуть, что это только source NAT, который подменят только адрес отправителя. Также стоит обратить внимание на action в правиле, потому как тут есть пара вариантов srcnat и masquarade, по сути одно и тоже, но первое работает только со статическими адресами в правилах, а второе поддерживает динамические, это актуально если у Вас не статический адрес на на WAN порту, это нужно учитывать.

[pupenasan]

2. По моему в настройках пула адресов для DHCP Вы не диапазон указали, а только один адрес 192.168.1.100, я могу заблуждаться, т.к. я всегда настраиваю руками в Winbox, но тут должна быть запись такого вида 192.168.1.100-192.168.1.200. В Вашем случае все заработало только потому то что у Вас один клиент был, добавьте еще один и адрес Вы не получите, потому что они у Вас закончились в пуле.

так перший раз і зробив, але чомусь адресу воно дало останню з пулу. Тому вирішив вставити один. Але перевірю

[spiritofnikopol]

Так и есть, по алгоритмам он выдает адреса с конца. Это не Ваша ошибка :)

[pupenasan]

щодо діапазону, Ви праві, правлю на діапазони

[pupenasan]

А тут не стоит указать какие именно команды нужны для этого и где их выполнять? Я имею в виду для RouterOS.

я зробив посилання на попередні пункти, але тепер зробив де вказівку рисунку

[pupenasan]

В разделе про NAT рекомендую Вам показать соответствующую вкладку в файерволе до и после включения, что бы было видно куда прописывается правило. Также стоит упомянуть, что это только source NAT, который подменят только адрес отправителя. Также стоит обратить внимание на action в правиле, потому как тут есть пара вариантов srcnat и masquarade, по сути одно и тоже, но первое работает только со статическими адресами в правилах, а второе поддерживает динамические, это актуально если у Вас не статический адрес на на WAN порту, это нужно учитывать.

Думаю дійсно варто показати де правило. Все інше важливо при налаштуванні таких маршрутизаторів як Mikrotik. Але це вже зовсім інший рівень компетенцій ніж на які розраховую. По факту, якби для якогось домашнього Dlink існувала віртуалка я б давав лаби на ньому. А там таких тонкощів немає. Тому намагаюся уникати таких складних речей.

[spiritofnikopol]

Я с Вами одновременно согласен и не согласен. Дело в том что сейчас настроить домашний роутер может любая мартышка, способная посмотреть youtube, а вот разобраться в сути, вот что важно. То что это не всегда просто для понимания - факт, но на производстве задачи в сетях в большинстве случаем далеко выходят за рамки банального ввода логина пароля и включения галочки. А там решать Вам, я лишь могу посоветовать со свой стороны как человека прошедшего этот путь :).

Я еще не дочитал лабу, пока что нет времени, постараюсь чуть позже закончить.

[spiritofnikopol]

Я не соглашусь с Вами в этом утверждении.

1. Если мы говорим о случае, когда провайдер нам выдал "локальный"/"серый" IP, то пакет из сети провайдера сможет попасть в нашу локальную сеть только в том случае, если кто то пришлет на него пакет для маршрутизации. Это возможно, но в основном только в случае намеренной атаки, в остальных случаях на маршрутизатор будут приходить ответы на наши запросы от маршрутизатора провайдера. Что касается "видимости" из сети интернет, то наша локальная сеть в итоге будет находиться минимум за двумя NAT серверами (первый на нашем роутере, второй у провайдера).
2. В случае получения "белого" ip на wan интерфейсе, то тут ситуация та же, для маршрутизации нужно сделать явно атаку, но в данном случае такая вероятность выше, т.к. этот адрес доступен по сути всем желающим, а не только пользователям сети провайдера. Но в и первом и во втором случае основной целью атаки является в первую очередь маршрутизатор, а потом уже внутрення сеть.

Я бы сформулировал немного иначе - После того как мы настроили NAT, мы скрыли всю локальную сеть за маршрутизатором, теперь все запросы из внутренней сети будут выглядеть как запросы непостредствено от маршрутизатора, ведь в поле "источника" будет находиться IP адрес WAN порта нашего маршрутизатора. Но маршрутизацию как таковую на роутере мы не отключали, а следовательно, если из внешней сети придет пакет на наш wan порт, который возможно маршрутизировать во внутреннюю сеть, то он это сделает, а это не безопасно. Для повышения безопасности настроим правила файервола.

Как то так...

[spiritofnikopol]

Вот тут рекомендую оперировать интерфейсами, а не списками, так как нигде ранее о них Вы не упоминаете. Причем эта штука специфична для микротика.

Также если не пользоваться мастером начальной конфигурации, то этих списков вообще нет и их нужно создавать руками.

[spiritofnikopol]

Я так понимаю тут опечатка

[spiritofnikopol]

По поводу перенаправления портов:

1. Я предлагаю все же сделать явное правило разрешающее маршрутизацию между двумя компьютерами по 5555 порту, а не пытаться изменять существующее. Да, это работает, но потенциально создает кучу проблем, если Вы захотите что то расширить или более явно ограничить.
2. Стоит снова показать список правил, который измениться и обьяснить что к чему. У Вас будут правила на вкладке Firewall и NAT. Также стоит акцентировать внимание на том, что порядок выполнения правил очень важен и как только пакет удовлетворит какому либо из правил, то он дальше не идет по этой цепочке, если только в action не стоит jump.

[spiritofnikopol]

Честно, я бы таки не морочился с мастером быстрой настройки вообще и настроил все руками. Да немного сложнее, но более прозрачно для понимания, что, за чем и почему. Но думаю Вы сами к этому придете на следующей итерации улучшения материала :)

Если будут вопросы - пишите!

[pupenasan]

По поводу перенаправления портов:

1. Я предлагаю все же сделать явное правило разрешающее маршрутизацию между двумя компьютерами по 5555 порту, а не пытаться изменять существующее. Да, это работает, но потенциально создает кучу проблем, если Вы захотите что то расширить или более явно ограничить.

я пробував, але в мене не вийшло. Може тому що треба ставити його на перше місце. Зараз попробую ще раз

[pupenasan]

і яке там правило вписати, щоб порт форвардінг працював? просто dstnat?

[pupenasan]

так норм?

[spiritofnikopol]

Вот тут для понимая как раз и нужна диаграмма движения пакетов в роутере. Вам достаточно явно разрешить трафик из интерфейса eth1 в подсеть 192.168.1.x/24 по протоколу tcp на порт 5555 в. action указать accept и поставить его на первое место.

Вместо всей подсети можно указать явно один адрес.

[pupenasan]

я б хотів щоб просто запрацював порт-форвардінг, а не пакет маршрутизувався

[pupenasan]

тобто в даному випадку мені не потрібна маршрутизація в середину мережі, а щоб працював обмін через порт роутера.

[spiritofnikopol]

Так порт форвардинг работает через маршрутизацию, иначе никак, вы лишь манипулируете с полями источника и получателя.

[spiritofnikopol]

Загляните в раздел NAT после того как вы настроили port-forwarding, какие там правила сейчас?

[pupenasan]

Так порт форвардинг работает через маршрутизацию, иначе никак, вы лишь манипулируете с полями источника и получателя.

так, але у випадку нормальної маршрутизації IP отримувача буде хост, а я хочу щоб роутер

[pupenasan]

Загляните в раздел NAT после того как вы настроили port-forwarding, какие там правила сейчас?

[spiritofnikopol]

Так оно сейчас у Вас так и должно работать. Смотрите, у Вас цепочка prerouting находиться перед forward, и в ней работает правило dstnat, где роутер заменить адрес назначения с внешнего на адрес ПК во внутренней сети. Дальше уже будет работать маршрутизация. Для того что бы пакеты ходили, Вам нужно указать правило для них. Так как к моменту попадания пакета в цепочку forward поле назначения уже изменено, то мы и указываем в правиле назначение 192.168.1.Х/24

[pupenasan]

Так оно сейчас у Вас так и должно работать. Смотрите, у Вас цепочка prerouting находиться перед forward, и в ней работает правило dstnat, где роутер заменить адрес назначения с внешнего на адрес ПК во внутренней сети. Дальше уже будет работать маршрутизация. Для того что бы пакеты ходили, Вам нужно указать правило для них. Так как к моменту попадания пакета в цепочку forward поле назначения уже изменено, то мы и указываем в правиле назначение 192.168.1.Х/24

так у мене нове правило вже працює. Я про коректність питаю

[spiritofnikopol]

Тогда не совсем понял Ваш вопрос.

[pupenasan]

Давайте краще про ланцюжки, бо я не до кінця зрозумів їх послідовність. Хто за ким іде.

[spiritofnikopol]

Я прикрепил пару диаграмм к предидущему сообщению. Вот полная картина по движению трафика Нас интересует аж третий блок. пакет сначала приходит в блок Prerouting, а затем определяется куда ему дальше, согласно алгоритма. В каждом блоке обрабатываются соответствующие цепочки firewall где пакет может быть модифицирован, в данном случае у нас будет изменено поле назначение.

[spiritofnikopol]

В Routing Decision определяется куда пойдет пакет, если он предназначен для самого роутера, то пойдет на Input, если нет, то на Forward и т.д.

И еще, эта диаграмма справедлива для всех маршрутизаторов, да, она может отличаться, но суть не меняется, эти диаграммы фактически "диктуются" технологиями связи.

[pupenasan]

ок, буду переварювати. Дякую.

[spiritofnikopol]

Может так Вам будет проще разобраться https://www.youtube.com/watch?v=3QBazfSZy70&ab_channel=MikrotikTraining

[spiritofnikopol]

А это уже совсем в деталях https://www.youtube.com/watch?v=3ESRncrnCM4&ab_channel=MikrotikTraining