dstnat изменение правила скриптом

Обсуждение ПО и его настройки
4ikapikadesi
Сообщения: 7
Зарегистрирован: 13 авг 2012, 11:47

Добрый день.
Прошу подсказать, как можно добиться изменения правила /ip firewall nat
Внешний ip постоянно меняется. Для доступа из интернета на свой компьютер вписал правило проброса порта в nat rule. Не понимаю как работает выбор по id в set или edit

edit edit <id> <param> edit selected items property in built-in text editor

set set <id> <param>=<value>..<param>=<value> change selected items parameter, more than one parameter can be specified at the time


Хочется написать для ежеминутного обновления правила в планировщике одной строкой что-то вроде
/ip firewall nat set (и вот здесь надо бы автоматом внешний ip из pppoe интерфейса забирать и менять dst-adress на новое значение) [/ip address get [find interface=pppoe-out1] address];


Стандартное правило.
/ip firewall nat add chain=dstnat dst-adress=176.195.168.30 dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.88.252 to-port=1234

Пробовал вобще dst-adress убирать , тогда пропадает интернет.


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Есть два способа решения вашей проблемы. Пока предложу наиболее простой.
Вот это правило вам поможет /ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.88.252


4ikapikadesi
Сообщения: 7
Зарегистрирован: 13 авг 2012, 11:47

сам на себя зайти не могу. использую фтп на файлзиле
Последний раз редактировалось 4ikapikadesi 15 авг 2012, 23:22, всего редактировалось 1 раз.


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Тогда покажите все правила своего фаервола


4ikapikadesi
Сообщения: 7
Зарегистрирован: 13 авг 2012, 11:47

 "как то так"
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=\
no out-interface="(unknown)" to-addresses=0.0.0.0
add action=masquerade chain=srcnat disabled=no out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=port_rule disabled=yes dst-address=\
176.195.168.30 dst-port="" protocol=tcp to-addresses=192.168.88.252 \
to-ports=0-65535
add action=dst-nat chain=dstnat disabled=no dst-port=1234 protocol=tcp \
to-addresses=192.168.88.252 to-ports=1234
/ip firewall service-port
1.jpg
(211.61 КБ) 45 скачиваний

2.jpg
(201.46 КБ) 45 скачиваний


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

А теперь правило 3 на позицию 0


4ikapikadesi
Сообщения: 7
Зарегистрирован: 13 авг 2012, 11:47

щас попробую.. даже в мыслях не было, что приоритет правил есть в порядке их следования


4ikapikadesi
Сообщения: 7
Зарегистрирован: 13 авг 2012, 11:47

всё равно нет. удаленный рабочий стол не подключается с таким правилом.
наверное это самое простое, чтобы в нат правиле менялся внешний ip. только как сделать чтоб не плодить правила, а именно изменять существующее, по примеру того, что я хотел сделать в первом посте.
 скриншот
3.png
(129.3 КБ) 40 скачиваний


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Еще раз что вы пытаетесь пробросить этим правилом. Я имею в виду какой сервис?
Я таким же образом пробрасываю всегда и все работает. Даже дома rdp так проброшен.
Кстати WAN интерфейс также pppoe.
Можете дать доступ на роутер. Мне кажется я вам так быстрее помогу. Как исправим, сообщу вам что было не так...
Правда, я не настаиваю-смотрите сами...


4ikapikadesi
Сообщения: 7
Зарегистрирован: 13 авг 2012, 11:47

доступ конечно могу. admin без пароля (пока не настроен)
176.195.168.30
рдп не работает с рабочего компьютера с таким правилом. только если я указывают внешнший ip, доступ открывается.


Ответить