Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Проброс портов

https://forummikrotik.ru/viewtopic.php?t=4965

Страница 1 из 2

Проброс портов

Добавлено: 27 янв 2014, 21:05
svetkin
Всем добрый день!

1. Не получается открыть доступ к файлобменной программе.

2. То что пытался сделать:

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat comment="DC client" disabled=no dst-address=\
    93.100.159.132 dst-port=23815 protocol=tcp src-port="" to-addresses=\
    192.168.0.102 to-ports=23815
add action=dst-nat chain=dstnat comment="DC client" disabled=no dst-address=\
    93.100.159.132 dst-port=14894 protocol=udp to-addresses=192.168.0.102 \
    to-ports=14894
add action=masquerade chain=srcnat comment=Default disabled=no out-interface=\
    wan to-addresses=0.0.0.0


Код: Выделить всё

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=no
add action=accept chain=input comment=icmp disabled=no protocol=icmp
add action=accept chain=input comment=established connection-state=established disabled=no
add action=accept chain=input comment=related connection-state=related disabled=no
add action=accept chain=input comment=manage disabled=no in-interface=bridge-local
add action=drop chain=input comment="all other drop" disabled=no in-interface=wan
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid disabled=no
add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=\
    no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no
add action=accept chain=forward comment="Allow acess to internet" disabled=no in-interface=bridge-local \
    out-interface=wan src-address-list=inet
add action=drop chain=forward comment="All other drop" disabled=no
add action=accept chain=forward disabled=no dst-address=192.168.0.102 dst-port=19894 in-interface=!wan \
    protocol=tcp
add action=accept chain=forward disabled=no dst-address=93.100.159.132 in-interface=!wan port=14894 protocol=\
    udp


4. На офицальном сайте микротика написано следующее
This example will show you how to forward port (tcp 5900) to an internal IP using destination NAT. 69.69.69.69 is the example wan IP, 192.168.1.101 is the desired internal destination.

/ip firewall nat add chain=dstnat dst-address=69.69.69.69 protocol=tcp dst-port=5900 \
action=dst-nat to-addresses=192.168.1.101 to-ports=5900


Помогите разобраться!

Re: Проброс портов

Добавлено: 27 янв 2014, 23:30
simpl3x

Код: Выделить всё

add action=drop chain=input comment="all other drop" disabled=no in-interface=wan

у вас как минимум закрыта цепочка input. т.е. прилетающий пакет, который потом надо редиректить - попросту откидывает в фаерволе. отключите как минимум это правило. или сделайте разрешение выше него, с нужным вам портом.

Re: Проброс портов

Добавлено: 27 янв 2014, 23:32
simpl3x

Код: Выделить всё

add action=accept chain=forward disabled=no dst-address=192.168.0.102 dst-port=19894 in-interface=!wan \
    protocol=tcp
add action=accept chain=forward disabled=no dst-address=93.100.159.132 in-interface=!wan port=14894 protocol=\
    udp


вот эти правила, скажу я вам по секрету, вообще работать не должны, так как находятся ниже общего дропа по цепочке forward.

Re: Проброс портов

Добавлено: 27 янв 2014, 23:38
simpl3x
ну и собственно говоря:

Код: Выделить всё

add action=drop chain=forward comment="All other drop" disabled=no

если порт форвард не заработает, отключите это правило, для проверки.
по идее должно отработать:

Код: Выделить всё

add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=\
    no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no

но кто его знает, этот латвийский рандом )

Re: Проброс портов

Добавлено: 28 янв 2014, 21:35
svetkin
Спасибо, заработало, но пришлось отключить:

Код: Выделить всё

add action=drop chain=forward comment="All other drop" disabled=no


даже не знаю на сколько это правильно...

Re: Проброс портов

Добавлено: 28 янв 2014, 22:18
simpl3x
ну скажем так, это не совсем правильно, вы тем самым открыли внешний интерфейс микротика для всего входящего трафика. как избежать этого, я вам уже ответил выше.

Re: Проброс портов

Добавлено: 28 янв 2014, 22:36
svetkin
я поднял свои правила на порты выше общего дорпа, но пока его не отключишь все равно не работает

Re: Проброс портов

Добавлено: 30 янв 2014, 07:39
simpl3x
ну так показывайте, что вы там подняли.

Re: Проброс портов

Добавлено: 31 янв 2014, 22:34
svetkin

Код: Выделить всё

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=no
add action=accept chain=input comment=icmp disabled=no protocol=icmp
add action=accept chain=input comment=established connection-state=established disabled=no
add action=accept chain=input comment=related connection-state=related disabled=no
add action=accept chain=input comment=manage disabled=no in-interface=bridge-local
add action=drop chain=input comment="all other drop" disabled=no in-interface=wan
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid disabled=no
add action=accept chain=forward disabled=no dst-address=192.168.0.0/24 dst-port=23815 in-interface=!wan \
    protocol=tcp
add action=accept chain=forward disabled=no dst-address=192.168.0.102 dst-port=23815 in-interface=!wan port=""
    protocol=udp
add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=
    no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no
add action=accept chain=forward comment="Allow acess to internet" disabled=no in-interface=bridge-local \
    out-interface=wan src-address-list=inet
add action=drop chain=forward comment="\C2\F1\E5 \EB\E8\F8\ED\E5\E5 \EE\F2\F1\E5\EA\E0\E5\EC \ED\E0 \E2\F5\EE\
    \E4\FF\F9\E5\EC \E8\ED\F2\E5\F0\F4\E5\E9\F1\E5" disabled=yes


а это мой nat

Код: Выделить всё

/ip firewall nat
add action=netmap chain=dstnat comment="DC client" disabled=no dst-port=23815 in-interface=wan protocol=tcp \
    src-port="" to-addresses=192.168.0.102 to-ports=23815
add action=netmap chain=dstnat comment="DC client" disabled=no dst-port=23815 in-interface=wan protocol=udp \
    to-addresses=192.168.0.102 to-ports=23815
add action=masquerade chain=srcnat comment=Default disabled=no out-interface=wan to-addresses=0.0.0.0

Re: Проброс портов

Добавлено: 31 янв 2014, 23:11
simpl3x
еще раз:
за порт форвард отвечает в первую очередь цепочка input, т.е. разрешения\исключения - должны быть в цепочке input, у вас же forward:

Код: Выделить всё

add action=accept chain=forward disabled=no dst-address=192.168.0.0/24 dst-port=23815 in-interface=!wan \
    protocol=tcp
add action=accept chain=forward disabled=no dst-address=192.168.0.102 dst-port=23815 in-interface=!wan port=""
    protocol=udp
Часовой пояс: UTC+03:00
Страница 1 из 2

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB