NAT SMTP para um IP público específico em um Mikrotik

Navegue suas respostas
2

Tivemos algumas pessoas que nos forneceram um Mikrotik com nossa conexão de fibra, mas desde então transferiram o contrato para outro provedor, e não querem me ajudar a configurar o dispositivo. Eu preciso desesperadamente de uma mão, estou fora da minha profundidade.

Temos alguns IPs públicos 154.117.185.242 - todo o tráfego normal, surf, wifi convidado em um presente 154.117.185.243 - nosso servidor web: 80 é neste 192.168.10.157: 80 154.117.185.244 154.117.185.245 - outro servidor web: 80 neste 192.168.10.9: 80 154.117.185.246

Por alguma razão 154.117.185.243 foi majoritariamente blaklisted, acho que alguém tinha um vírus. Então eu quero mover o SMTP de saída (porta 25) de 154.117.185.242 para 154.117.185.244 para que as pessoas possam receber de forma confiável seus emails transacionais.

Eu tentei criar esta regra: srcnat src.add: 192.168.10.157 porta tcp do protocolo 25 - > ação src-nat para 154.117.185.244 porta 25 (gostaria de poder anexar uma captura de tela)

Mas isso não fez nada.

Para ser honesto, nem sei por onde começar a criar essa regra. Eu realmente preciso de ajuda.

Assumo que a comunicação de resposta da rede também terá que ter uma regra para voltar a 192.168.10.157:25 - mas, se necessário, penso que posso copiar uma das regras do servidor Web e alterar números de porta . É a regra para as coisas de saída com as quais estou realmente confuso.

Obrigado

Steve

Editar - exportação adicionada: 

# dec/20/2016 21:15:40 by RouterOS 6.30.4
# software id = UUL8-1EL2
#
/ip firewall filter
add action=drop chain=forward src-address=192.168.10.54
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=80 protocol=tcp \
    to-addresses=192.168.10.157 to-ports=80
add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=81 protocol=tcp \
    to-addresses=192.168.10.241 to-ports=81
add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=82 protocol=tcp \
    to-addresses=192.168.10.242 to-ports=82
add action=dst-nat chain=dstnat dst-address=154.117.185.245 dst-port=21-80 protocol=tcp \
    to-addresses=192.168.10.9 to-ports=21-80
add action=src-nat chain=srcnat protocol=tcp src-address=192.168.10.157 src-port=25 \
    to-addresses=154.117.185.245 to-ports=25

e toda a configuração: 

# dec/22/2016 12:53:00 by RouterOS 6.30.4
# software id = UUL8-1EL2
#
/interface ethernet
set [ find default-name=ether1 ] comment="Bitco Fibre"
set [ find default-name=ether2 ] comment=Internal
set [ find default-name=ether3 ] comment=unused
set [ find default-name=ether5 ] comment="Guests Wifi"
set [ find default-name=ether6 ] comment=unused
/ip neighbor discovery
set ether1 comment="Bitco Fibre"
set ether2 comment=Internal
set ether3 comment=unused
set ether5 comment="Guests Wifi"
set ether6 comment=unused
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.22.100-192.168.22.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether5 lease-time=1d10m \
    name=dhcp1
/snmp community
set [ find default=yes ] addresses=154.66.208.0/24
/ip address
add address=154.117.185.243/22 interface=ether1 network=154.117.184.0
add address=192.168.22.2/24 interface=ether5 network=192.168.22.0
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0
add address=154.117.185.245/22 interface=ether1 network=154.117.184.0
add address=154.117.185.242/22 interface=ether1 network=154.117.184.0
add address=154.117.185.244/22 interface=ether1 network=154.117.184.0
/ip dhcp-server network
add address=192.168.22.0/24 dns-server=41.79.80.34,8.8.8.8 gateway=\
    192.168.22.2
/ip dns
set allow-remote-requests=yes servers=41.79.80.34,8.8.8.8
/ip firewall filter
add action=drop chain=forward disabled=yes src-address=192.168.10.109
add action=drop chain=forward disabled=yes src-address=192.168.10.28
add action=drop chain=forward src-address=192.168.10.54
add action=drop chain=forward disabled=yes src-address=192.168.22.116
add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" \
    dst-port=25 protocol=tcp src-address-list=SPAMMER
add action=add-src-to-address-list address-list=SPAMMER address-list-timeout=\
    23h59m59s chain=forward comment=\
    "Detect and add-list SMTP virus or spammers" connection-limit=10,32 \
    dst-port=25 limit=10,5 protocol=tcp
/ip firewall mangle
add action=mark-routing chain=prerouting dst-port=25 new-routing-mark=\
    "Webserver SMTP" passthrough=no protocol=tcp src-address=192.168.10.157
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat comment="webserver port 80" dst-address=\
    154.117.185.243 dst-port=80 protocol=tcp to-addresses=192.168.10.157 \
    to-ports=80
add action=dst-nat chain=dstnat comment=CCTV dst-address=154.117.185.243 \
    dst-port=81 protocol=tcp to-addresses=192.168.10.241 to-ports=81
add action=dst-nat chain=dstnat comment="unused CCTV" dst-address=\
    154.117.185.243 dst-port=82 protocol=tcp to-addresses=192.168.10.242 \
    to-ports=82
add action=dst-nat chain=dstnat comment=xmpie dst-address=154.117.185.245 \
    dst-port=80 protocol=tcp to-addresses=192.168.10.9 to-ports=21-80
/ip route
add comment="send web SMTP through 244" distance=1 gateway=154.117.185.244 \
    routing-mark="Webserver SMTP" scope=255
add distance=1 gateway=154.117.185.217
/ip service
set telnet address=192.168.10.0/24
set ftp address=192.168.10.0/24 disabled=yes
set www address=192.168.10.0/24
set ssh address=192.168.10.0/24
set www-ssl address=192.168.10.0/24
set api address=192.168.10.0/24
set winbox address=192.168.10.0/24
set api-ssl address=192.168.10.0/24
/lcd
set time-interval=hour
/snmp
set enabled=yes
/system clock
set time-zone-name=Africa/Johannesburg
/system identity
set name=Bowens
/system routerboard settings
set protected-routerboot=disabled
/system script
add name=SPAMMERS owner=admin source=":log error \\"----------Users detected \
    like \\
    \n    SPAMMERS -------------\\";\
    \n\n:foreach i in \[/ip firewall address-list find \\
    \n    list=spammer\] do={:set usser \[/ip firewall address-list get \\$\
    i \\
    \n    address\];\
    \n\n:foreach j in=\[/ip hotspot active find address=\\$usser\] \\
    \n    do={:set ip \[/ip hotspot active get \\$j user\];\
    \n\n:log error \\$ip;\
    \n\n:log \\
    \n    error \\$usser} };\" policy=ftp,read,write,policy,test,winbox "
/tool graphing interface
add allow-address=192.168.10.0/24
/tool romon port
add
    
por Steven Hook 20.12.2016 / 19:04

1 resposta

1

Se você já tem o servidor de e-mail dentro, então deve haver regras para esse ip. Aqui mostra que você tem vírus. Você pode postar a configuração do roteador? /ip firewall export file=fwexport.txt

A alteração do IP não resolveria seu problema. Você deve encontrar o computador infectado.

Editar

Você deve configurar a marcação de pacotes e rotear o tráfego SMTP com marcação específica para um gateway específico. Veja aqui e aqui . Você deve marcar apenas o tráfego do servidor da web. Neste momento eu não tenho roteador de reposição para testar isso. Mas espero que você tenha idéia. Também bloqueie o tráfego SMTP no Wi-Fi convidado. Como autodetectar usuários infectados ou spammers e bloquear temporariamente a saída SMTP

/ip firewall filter add action=drop chain=forward disabled=yes dst-port=25 in-interface=wlan1 log=yes protocol=tcp

Esta regra bloqueará todo o tráfego smtp na porta 25 da interface wlan1 . Quando você corrigir a regra, remova disabled=yes ou ative-a na GUI.

    
por 20.12.2016 / 19:44

Tags

Spamassassin: falha ao abrir arquivo /usr/local/spamassassin/spamfilter.log: Permissão negada apache2 https redireciona para http sem certificado ssl