заезженная тема с пробросом портов

Обсуждение ПО и его настройки
Ответить
NoT
Сообщения: 45
Зарегистрирован: 17 сен 2012, 19:18

Доброго времени.
Понимаю что тема стара как мир, но все же.
Имеем следующее сервер в локальной сети ftp + mail, котрый должен стоять за mrb 433gl, соответственно надо пробросить порты с "внешнего" интерфейса eth0 на внутренний адрес сервера 192.168.111.11.
для простоты восприятия реши начать с фтп. Там всего два порта 20 и 21.
Для этого почитав гугл до страницы наверно 30+ какой то содрал правила

Код: Выделить всё

add action=dst-nat chain=dstnat disabled=no dst-address=213.234.11.170 \
    dst-port=20 protocol=tcp to-addresses=192.168.111.11 to-ports=20
add action=dst-nat chain=dstnat disabled=no dst-address=213.234.11.170 \
    dst-port=21 protocol=tcp to-addresses=192.168.111.11 to-ports=21


ни чего не вышло естественно. После, подумав еще маленько, решил добавить правила разрешающие явно прохождение трафика в локальную сеть и из нее

Код: Выделить всё

add action=accept chain=forward  disabled=no \
    dst-address=192.168.111.0/24
add action=accept chain=forward disabled=no \
    src-address=192.168.111.0/24


но опять глухо.
но при попытки соединения с фтп один пакет таки приходит на правило проброса 21 порта. но на этом все заканчивается.

так что же я все таки делаю не правильно? в какую сторону копать. вики на http://mikrotik.com читал много прояснилось но не в этом вопросе.


Аватара пользователя
PavelSES
Сообщения: 48
Зарегистрирован: 13 сен 2011, 08:30

Первые два правила правильные по идее с ними должно работать, у меня аналогично и работает прекрасно. Отсюда вижу три варианта:
1) для фтп надо обычно пробрасывать еще диапазон портов для пассива
2) возможно есть запрещающее правило в фильтрах
3) как вариант на сервере где установлен фтп не прописан шлюз и он не знает куда отдавать ответы
пока больше ничего на ум не приходит...


t332
Сообщения: 95
Зарегистрирован: 21 сен 2012, 00:32

А вы зачем указываете dst-address=213.234.11.170 ?
У вас на mrb 433gl несколько "внешних" интерфейсов?

Если да - то вы уверены, что обращаетесь именно на вот этот 213.234.11.170 ?

Т.е. сейчас у вас правило говорит о том, что все пакеты, достигающие роутера и имеющие адрес получателя 213.234.11.170 порт 20,21 надо мапить на адрес 192.168.111.11 на соответствующие порты. Это точно то, что вы хотите?

Второе правило в Firewall/Filter rules - оно не требуется вообще, а в первом - лучше бы конкретизировать протокол и порты разрешенные.

Также, в Firewall/Filter Rules - у вас стоит последнее правило - "drop все, что не попало под предыдущие правила"? Если да, то добавьте ПЕРЕД ним правило, которое вместо drop имеет action = LOG. Ну и потом в логе смотрите чего и почему дропается.


Аватара пользователя
PavelSES
Сообщения: 48
Зарегистрирован: 13 сен 2011, 08:30

А вы зачем указываете dst-address=213.234.11.170

по моему так даже правильнее, чем конкретнее правило тем лучше


NoT
Сообщения: 45
Зарегистрирован: 17 сен 2012, 19:18

Такс ну я таки склоняюсь к тому что шлюз на компе не правильно указан. Завтра с утра попробую отпишусь что вышло.


NoT
Сообщения: 45
Зарегистрирован: 17 сен 2012, 19:18

действительно, сменил шлюз на серваке и порты пробросились.
частично проблема решена :) спасибо за подсказки


Ответить