Для этого не нужен скрипт.
Если у вас в firewall’е пусто (что в реальной жизни конечно делать нельзя), то технически у вас все порты открыты, и достаточно правил dst-nat.
Аналогично с заводским firewall’ом - в него уже добавлено правило пропускать (открывать) все, что вы пробрасываете в dst-nat.
Открытие портов на микротике
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Telegram: @thexvo
-
- Сообщения: 22
- Зарегистрирован: 14 май 2022, 17:25
1. Белый IP
2. IP/NAT проброс порта до службы, если служба, например, на другом IP в Lan, т.е. если служба не микротик.
3. IP/Firewall разрешение Accept для новых/установленных соединений на данном порту. И не путайте цепи Input и Forward. Это правило актуально, если конечно есть общий drop всего оставшегося в конце списка правил.
2. IP/NAT проброс порта до службы, если служба, например, на другом IP в Lan, т.е. если служба не микротик.
3. IP/Firewall разрешение Accept для новых/установленных соединений на данном порту. И не путайте цепи Input и Forward. Это правило актуально, если конечно есть общий drop всего оставшегося в конце списка правил.
-
- Сообщения: 12
- Зарегистрирован: 26 ноя 2022, 12:23
/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=443 action=dst-nat to-address=192.168.1.10 to-port=443
/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.10 protocol=tcp dst-port=443 out-interface=LAN action=masquerade
при таких правилах счетчик считает, но сканер портов показывает недоступность порта
/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.10 protocol=tcp dst-port=443 out-interface=LAN action=masquerade
при таких правилах счетчик считает, но сканер портов показывает недоступность порта
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну а по факту?
Telegram: @thexvo
-
- Сообщения: 22
- Зарегистрирован: 14 май 2022, 17:25
192.168.1.10 это что ? PC?
Там брандмауэр разрешён на эти порты?
Запустите на этом PC монитор сетевой активности и посмотрите трафик.
Можно также mikrotik/tools/torch или mikrotik/tools/packet sniffer + wireshark'ом на 192.168.1.10 увидеть всё необходимое.
443 порт... Если это какая нибудь вебка на linux в lan то там надо ещё и iptables и nginx.conf смотреть к примеру... Если centos, то iptables -L -v -n и ss -putona всё покажут.
Много неизвестных данных, косяк может в разных местах прятаться по пути до запущенного сервиса. Дело может быть совсем не в микротике.
-
- Сообщения: 12
- Зарегистрирован: 26 ноя 2022, 12:23
По факту подключена статика на микротик, в лан порт подключен один комп тестовый, без выхода в локалку, я его сейчас настраиваю, и проверяю открытость портов до того как я его включу в локальную сеть, так вот мне надо открыть на микротике определенные порты, и я так понимаю мне надо ip назначения указывать комп для теста, для проверки портов? Или нет?
-
- Сообщения: 189
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
Да, именно так.... Только не забудьте, что на том устройстве куда перенаправляете трафик - кто-то должен этот порт "слушать".dstnat писал(а): ↑28 ноя 2022, 07:35 По факту подключена статика на микротик, в лан порт подключен один комп тестовый, без выхода в локалку, я его сейчас настраиваю, и проверяю открытость портов до того как я его включу в локальную сеть, так вот мне надо открыть на микротике определенные порты, и я так понимаю мне надо ip назначения указывать комп для теста, для проверки портов? Или нет?
RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
-
- Сообщения: 12
- Зарегистрирован: 26 ноя 2022, 12:23
А если я открываю порт на микротике, то адрес назначения я прописываю ip внутренний микрота?
-
- Модератор
- Сообщения: 3319
- Зарегистрирован: 01 окт 2012, 14:48
Ну с какого перепуга-то? Ну конечно IP адрес того устройства (компа) который в итоге это соединение должен принять.
И если у вас там комп, то в нем тоже есть свой фаерволл, его тоже надо настраивать. Особенно, если там Касперский, ДрВеб и прочее с фаерволлом.
Если честно, две страницы разговоров в пустую.
Напишите четко и ясно, что вам нужно, для чего и что за устройство после микротика, и по каким портам оно ждет входящее соединение. Что это за задача и какая прога?
А то похоже, сейчас выяснится, что это все для исходящих соединений.
И если у вас там комп, то в нем тоже есть свой фаерволл, его тоже надо настраивать. Особенно, если там Касперский, ДрВеб и прочее с фаерволлом.
Если честно, две страницы разговоров в пустую.
Напишите четко и ясно, что вам нужно, для чего и что за устройство после микротика, и по каким портам оно ждет входящее соединение. Что это за задача и какая прога?
А то похоже, сейчас выяснится, что это все для исходящих соединений.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Вы прокидываете 443 порт - на комп в локалке, вот я и спрашиваю - по факту он открывается, страница грузится?dstnat писал(а): ↑28 ноя 2022, 07:35 По факту подключена статика на микротик, в лан порт подключен один комп тестовый, без выхода в локалку, я его сейчас настраиваю, и проверяю открытость портов до того как я его включу в локальную сеть, так вот мне надо открыть на микротике определенные порты, и я так понимаю мне надо ip назначения указывать комп для теста, для проверки портов? Или нет?
Без всяких сканеров и прочего.
Telegram: @thexvo