Страница 1 из 1

заезженная тема с пробросом портов

Добавлено: 10 дек 2012, 11:57
NoT
Доброго времени.
Понимаю что тема стара как мир, но все же.
Имеем следующее сервер в локальной сети ftp + mail, котрый должен стоять за mrb 433gl, соответственно надо пробросить порты с "внешнего" интерфейса eth0 на внутренний адрес сервера 192.168.111.11.
для простоты восприятия реши начать с фтп. Там всего два порта 20 и 21.
Для этого почитав гугл до страницы наверно 30+ какой то содрал правила

Код: Выделить всё

add action=dst-nat chain=dstnat disabled=no dst-address=213.234.11.170 \
    dst-port=20 protocol=tcp to-addresses=192.168.111.11 to-ports=20
add action=dst-nat chain=dstnat disabled=no dst-address=213.234.11.170 \
    dst-port=21 protocol=tcp to-addresses=192.168.111.11 to-ports=21


ни чего не вышло естественно. После, подумав еще маленько, решил добавить правила разрешающие явно прохождение трафика в локальную сеть и из нее

Код: Выделить всё

add action=accept chain=forward  disabled=no \
    dst-address=192.168.111.0/24
add action=accept chain=forward disabled=no \
    src-address=192.168.111.0/24


но опять глухо.
но при попытки соединения с фтп один пакет таки приходит на правило проброса 21 порта. но на этом все заканчивается.

так что же я все таки делаю не правильно? в какую сторону копать. вики на http://mikrotik.com читал много прояснилось но не в этом вопросе.

Re: заезженная тема с пробросом портов

Добавлено: 10 дек 2012, 17:09
PavelSES
Первые два правила правильные по идее с ними должно работать, у меня аналогично и работает прекрасно. Отсюда вижу три варианта:
1) для фтп надо обычно пробрасывать еще диапазон портов для пассива
2) возможно есть запрещающее правило в фильтрах
3) как вариант на сервере где установлен фтп не прописан шлюз и он не знает куда отдавать ответы
пока больше ничего на ум не приходит...

Re: заезженная тема с пробросом портов

Добавлено: 10 дек 2012, 18:39
t332
А вы зачем указываете dst-address=213.234.11.170 ?
У вас на mrb 433gl несколько "внешних" интерфейсов?

Если да - то вы уверены, что обращаетесь именно на вот этот 213.234.11.170 ?

Т.е. сейчас у вас правило говорит о том, что все пакеты, достигающие роутера и имеющие адрес получателя 213.234.11.170 порт 20,21 надо мапить на адрес 192.168.111.11 на соответствующие порты. Это точно то, что вы хотите?

Второе правило в Firewall/Filter rules - оно не требуется вообще, а в первом - лучше бы конкретизировать протокол и порты разрешенные.

Также, в Firewall/Filter Rules - у вас стоит последнее правило - "drop все, что не попало под предыдущие правила"? Если да, то добавьте ПЕРЕД ним правило, которое вместо drop имеет action = LOG. Ну и потом в логе смотрите чего и почему дропается.

Re: заезженная тема с пробросом портов

Добавлено: 10 дек 2012, 19:42
PavelSES
А вы зачем указываете dst-address=213.234.11.170

по моему так даже правильнее, чем конкретнее правило тем лучше

Re: заезженная тема с пробросом портов

Добавлено: 10 дек 2012, 20:41
NoT
Такс ну я таки склоняюсь к тому что шлюз на компе не правильно указан. Завтра с утра попробую отпишусь что вышло.

Re: заезженная тема с пробросом портов

Добавлено: 12 дек 2012, 07:51
NoT
действительно, сменил шлюз на серваке и порты пробросились.
частично проблема решена :) спасибо за подсказки