Проброс портов

Обсуждение оборудования и его настройки
svetkin
Сообщения: 24
Зарегистрирован: 19 янв 2014, 12:31

Всем добрый день!

1. Не получается открыть доступ к файлобменной программе.

2. То что пытался сделать:

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat comment="DC client" disabled=no dst-address=\
    93.100.159.132 dst-port=23815 protocol=tcp src-port="" to-addresses=\
    192.168.0.102 to-ports=23815
add action=dst-nat chain=dstnat comment="DC client" disabled=no dst-address=\
    93.100.159.132 dst-port=14894 protocol=udp to-addresses=192.168.0.102 \
    to-ports=14894
add action=masquerade chain=srcnat comment=Default disabled=no out-interface=\
    wan to-addresses=0.0.0.0


Код: Выделить всё

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=no
add action=accept chain=input comment=icmp disabled=no protocol=icmp
add action=accept chain=input comment=established connection-state=established disabled=no
add action=accept chain=input comment=related connection-state=related disabled=no
add action=accept chain=input comment=manage disabled=no in-interface=bridge-local
add action=drop chain=input comment="all other drop" disabled=no in-interface=wan
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid disabled=no
add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=\
    no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no
add action=accept chain=forward comment="Allow acess to internet" disabled=no in-interface=bridge-local \
    out-interface=wan src-address-list=inet
add action=drop chain=forward comment="All other drop" disabled=no
add action=accept chain=forward disabled=no dst-address=192.168.0.102 dst-port=19894 in-interface=!wan \
    protocol=tcp
add action=accept chain=forward disabled=no dst-address=93.100.159.132 in-interface=!wan port=14894 protocol=\
    udp


4. На офицальном сайте микротика написано следующее
This example will show you how to forward port (tcp 5900) to an internal IP using destination NAT. 69.69.69.69 is the example wan IP, 192.168.1.101 is the desired internal destination.

/ip firewall nat add chain=dstnat dst-address=69.69.69.69 protocol=tcp dst-port=5900 \
action=dst-nat to-addresses=192.168.1.101 to-ports=5900


Помогите разобраться!


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Код: Выделить всё

add action=drop chain=input comment="all other drop" disabled=no in-interface=wan

у вас как минимум закрыта цепочка input. т.е. прилетающий пакет, который потом надо редиректить - попросту откидывает в фаерволе. отключите как минимум это правило. или сделайте разрешение выше него, с нужным вам портом.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Код: Выделить всё

add action=accept chain=forward disabled=no dst-address=192.168.0.102 dst-port=19894 in-interface=!wan \
    protocol=tcp
add action=accept chain=forward disabled=no dst-address=93.100.159.132 in-interface=!wan port=14894 protocol=\
    udp


вот эти правила, скажу я вам по секрету, вообще работать не должны, так как находятся ниже общего дропа по цепочке forward.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну и собственно говоря:

Код: Выделить всё

add action=drop chain=forward comment="All other drop" disabled=no

если порт форвард не заработает, отключите это правило, для проверки.
по идее должно отработать:

Код: Выделить всё

add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=\
    no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no

но кто его знает, этот латвийский рандом )


svetkin
Сообщения: 24
Зарегистрирован: 19 янв 2014, 12:31

Спасибо, заработало, но пришлось отключить:

Код: Выделить всё

add action=drop chain=forward comment="All other drop" disabled=no


даже не знаю на сколько это правильно...


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну скажем так, это не совсем правильно, вы тем самым открыли внешний интерфейс микротика для всего входящего трафика. как избежать этого, я вам уже ответил выше.


svetkin
Сообщения: 24
Зарегистрирован: 19 янв 2014, 12:31

я поднял свои правила на порты выше общего дорпа, но пока его не отключишь все равно не работает


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну так показывайте, что вы там подняли.


svetkin
Сообщения: 24
Зарегистрирован: 19 янв 2014, 12:31

Код: Выделить всё

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=no
add action=accept chain=input comment=icmp disabled=no protocol=icmp
add action=accept chain=input comment=established connection-state=established disabled=no
add action=accept chain=input comment=related connection-state=related disabled=no
add action=accept chain=input comment=manage disabled=no in-interface=bridge-local
add action=drop chain=input comment="all other drop" disabled=no in-interface=wan
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid disabled=no
add action=accept chain=forward disabled=no dst-address=192.168.0.0/24 dst-port=23815 in-interface=!wan \
    protocol=tcp
add action=accept chain=forward disabled=no dst-address=192.168.0.102 dst-port=23815 in-interface=!wan port=""
    protocol=udp
add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=
    no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no
add action=accept chain=forward comment="Allow acess to internet" disabled=no in-interface=bridge-local \
    out-interface=wan src-address-list=inet
add action=drop chain=forward comment="\C2\F1\E5 \EB\E8\F8\ED\E5\E5 \EE\F2\F1\E5\EA\E0\E5\EC \ED\E0 \E2\F5\EE\
    \E4\FF\F9\E5\EC \E8\ED\F2\E5\F0\F4\E5\E9\F1\E5" disabled=yes


а это мой nat

Код: Выделить всё

/ip firewall nat
add action=netmap chain=dstnat comment="DC client" disabled=no dst-port=23815 in-interface=wan protocol=tcp \
    src-port="" to-addresses=192.168.0.102 to-ports=23815
add action=netmap chain=dstnat comment="DC client" disabled=no dst-port=23815 in-interface=wan protocol=udp \
    to-addresses=192.168.0.102 to-ports=23815
add action=masquerade chain=srcnat comment=Default disabled=no out-interface=wan to-addresses=0.0.0.0


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

еще раз:
за порт форвард отвечает в первую очередь цепочка input, т.е. разрешения\исключения - должны быть в цепочке input, у вас же forward:

Код: Выделить всё

add action=accept chain=forward disabled=no dst-address=192.168.0.0/24 dst-port=23815 in-interface=!wan \
    protocol=tcp
add action=accept chain=forward disabled=no dst-address=192.168.0.102 dst-port=23815 in-interface=!wan port=""
    protocol=udp


Ответить