服务器 Gind.cn
  1. 服务器 Gind.cn
  3. NAT SMTP到Mikrotik上的特定公共IP
Intereting Posts
传出的邮件未能被Gmail收到。 拒绝,因为PTRlogging不会马上向前查找 如何给我的KVM客人networking连接? 用两个虚拟主机,2个ip和2个ssl来启动Apache 我可以回滚SQL数据库的最后更新吗? 无线路由器用户名和密码访问 关于rsync的几个问题 Cron不可用,请改用? 将Mac OS X Server升级到10.13(High Sierra)后如何防止出现常量XCode服务错误? 在FreeNAS上使用ZFS,RAIDZ和不同大小的磁盘会导致巨大的存储损失 debugging和提高服务器速度的最佳方法是什么? 调整Linux磁盘caching行为以获得最大的吞吐量 该域的AD域控制器无法联系 如何将证书文件与密钥文件进行匹配? Ubuntu中这种依赖性升级是否安全? 我可以使用SSL网站的主机标头吗?

NAT SMTP到Mikrotik上的特定公共IP

我们有一些偷窥者向我们提供了一个Mikrotik光纤连接,但是之后把合同移交给另一个提供商,他们不想帮我configuration设备。 我非常需要一只手,我已经不在我的深处了。

我们有一些公开的IP 154.117.185.242 – 这一个154.117.185.243 – 我们的networking服务器:80是在这一个192.168.10.157:80 154.117.185.244 154.117.185.245所有正常的stream量,冲浪,访客的WiFi – 另一个networking服务器:80在这一个192.168.10.9:80 154.117.185.246

出于某种原因,154.117.185.243已经被列入重要的白名单,我认为有人有病毒。 所以我想把传出的SMTP(端口25)从154.117.185.242移到154.117.185.244,这样人们可以可靠地收到他们的交易邮件。

我试图创build此规则:srcnat src.add:192.168.10.157协议tcp端口25 – >动作src-nat地址154.117.185.244端口25(我希望我可以附加一个屏幕抓取)

但是那没有做什么。

说实话,我甚至不知道从哪里开始创build这个规则。 我真的需要帮助。

我假设来自networking的响应通信也必须有一个规则返回到192.168.10.157:25 – 但如果这是必要的,我认为,我可以几乎复制一个networking服务器规则和更改端口号。 这是我真正被困住的传出东西的规则。

谢谢

史蒂夫

编辑 – 添加导出: 

# dec/20/2016 21:15:40 by RouterOS 6.30.4 # software id = UUL8-1EL2 # /ip firewall filter add action=drop chain=forward src-address=192.168.10.54 /ip firewall nat add action=masquerade chain=srcnat add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=80 protocol=tcp \ to-addresses=192.168.10.157 to-ports=80 add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=81 protocol=tcp \ to-addresses=192.168.10.241 to-ports=81 add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=82 protocol=tcp \ to-addresses=192.168.10.242 to-ports=82 add action=dst-nat chain=dstnat dst-address=154.117.185.245 dst-port=21-80 protocol=tcp \ to-addresses=192.168.10.9 to-ports=21-80 add action=src-nat chain=srcnat protocol=tcp src-address=192.168.10.157 src-port=25 \ to-addresses=154.117.185.245 to-ports=25

和整个configuration: 

 # dec/22/2016 12:53:00 by RouterOS 6.30.4 # software id = UUL8-1EL2 # /interface ethernet set [ find default-name=ether1 ] comment="Bitco Fibre" set [ find default-name=ether2 ] comment=Internal set [ find default-name=ether3 ] comment=unused set [ find default-name=ether5 ] comment="Guests Wifi" set [ find default-name=ether6 ] comment=unused /ip neighbor discovery set ether1 comment="Bitco Fibre" set ether2 comment=Internal set ether3 comment=unused set ether5 comment="Guests Wifi" set ether6 comment=unused /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=dhcp_pool1 ranges=192.168.22.100-192.168.22.254 /ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=ether5 lease-time=1d10m \ name=dhcp1 /snmp community set [ find default=yes ] addresses=154.66.208.0/24 /ip address add address=154.117.185.243/22 interface=ether1 network=154.117.184.0 add address=192.168.22.2/24 interface=ether5 network=192.168.22.0 add address=192.168.10.1/24 interface=ether2 network=192.168.10.0 add address=154.117.185.245/22 interface=ether1 network=154.117.184.0 add address=154.117.185.242/22 interface=ether1 network=154.117.184.0 add address=154.117.185.244/22 interface=ether1 network=154.117.184.0 /ip dhcp-server network add address=192.168.22.0/24 dns-server=41.79.80.34,8.8.8.8 gateway=\ 192.168.22.2 /ip dns set allow-remote-requests=yes servers=41.79.80.34,8.8.8.8 /ip firewall filter add action=drop chain=forward disabled=yes src-address=192.168.10.109 add action=drop chain=forward disabled=yes src-address=192.168.10.28 add action=drop chain=forward src-address=192.168.10.54 add action=drop chain=forward disabled=yes src-address=192.168.22.116 add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" \ dst-port=25 protocol=tcp src-address-list=SPAMMER add action=add-src-to-address-list address-list=SPAMMER address-list-timeout=\ 23h59m59s chain=forward comment=\ "Detect and add-list SMTP virus or spammers" connection-limit=10,32 \ dst-port=25 limit=10,5 protocol=tcp /ip firewall mangle add action=mark-routing chain=prerouting dst-port=25 new-routing-mark=\ "Webserver SMTP" passthrough=no protocol=tcp src-address=192.168.10.157 /ip firewall nat add action=masquerade chain=srcnat add action=dst-nat chain=dstnat comment="webserver port 80" dst-address=\ 154.117.185.243 dst-port=80 protocol=tcp to-addresses=192.168.10.157 \ to-ports=80 add action=dst-nat chain=dstnat comment=CCTV dst-address=154.117.185.243 \ dst-port=81 protocol=tcp to-addresses=192.168.10.241 to-ports=81 add action=dst-nat chain=dstnat comment="unused CCTV" dst-address=\ 154.117.185.243 dst-port=82 protocol=tcp to-addresses=192.168.10.242 \ to-ports=82 add action=dst-nat chain=dstnat comment=xmpie dst-address=154.117.185.245 \ dst-port=80 protocol=tcp to-addresses=192.168.10.9 to-ports=21-80 /ip route add comment="send web SMTP through 244" distance=1 gateway=154.117.185.244 \ routing-mark="Webserver SMTP" scope=255 add distance=1 gateway=154.117.185.217 /ip service set telnet address=192.168.10.0/24 set ftp address=192.168.10.0/24 disabled=yes set www address=192.168.10.0/24 set ssh address=192.168.10.0/24 set www-ssl address=192.168.10.0/24 set api address=192.168.10.0/24 set winbox address=192.168.10.0/24 set api-ssl address=192.168.10.0/24 /lcd set time-interval=hour /snmp set enabled=yes /system clock set time-zone-name=Africa/Johannesburg /system identity set name=Bowens /system routerboard settings set protected-routerboot=disabled /system script add name=SPAMMERS owner=admin source=":log error \\\"----------Users detected \ like \\\ \n SPAMMERS -------------\\\";\ \n\\n:foreach i in \\[/ip firewall address-list find \\\ \n list=spammer\\] do={:set usser \\[/ip firewall address-list get \\\$\ i \\\ \n address\\];\ \n\\n:foreach j in=\\[/ip hotspot active find address=\\\$usser\\] \\\ \n do={:set ip \\[/ip hotspot active get \\\$j user\\];\ \n\\n:log error \\\$ip;\ \n\\n:log \\\ \n error \\\$usser} };\" policy=ftp,read,write,policy,test,winbox " /tool graphing interface add allow-address=192.168.10.0/24 /tool romon port add

如果你已经有邮件服务器,那么必须有该ip的规则。 这里显示你有病毒。 你可以发布路由器configuration吗? /ip firewall export file=fwexport.txt

改变IP并不能解决你的问题。 你必须find被感染的电脑。

编辑

您必须设置数据包标记,并将具有特定标记的SMTP通信路由到特定网关。 看到这里和这里 。 您只能标记来自Web服务器的stream量。 在这个时候我没有备用路由器来testing。 但希望你有想法。 同时阻止来宾wifi中的SMTPstream量。 如何自动检测受感染或垃圾邮件的用户,并临时阻止SMTP输出

/ip firewall filter add action=drop chain=forward disabled=yes dst-port=25 in-interface=wlan1 log=yes protocol=tcp

此规则将阻止从wlan1接口的25端口的所有smtpstream量。 当您更正规则时,请移除disabled=yes或在GUI中启用它。