mikrotik RB951G-2HnD + белые адреса с переадресацией

Обсуждение ПО и его настройки
Ответить
crimebot
Сообщения: 1
Зарегистрирован: 16 июл 2013, 12:55

доброго дня, народ!
В наличии mikrotik RB951G-2HnD (из коробки, прошивка не модифицировалась, судя по внешнему виду винбокса предполагаю 5 серию оси), два сервера (win7pro x32 в качестве прокси и OpenSuse 12.1 в качестве web+ftp+mySQL) + 2 голосовых шлюза. Под все это выделены белые адреса от провайдера из серии х.х.х.80-94 /28 (да, с запасом выдано, факт). Адреса этой серии зарегистрированы в "рипе", то есть все-таки белые. Однако момент, который меня смутил и расстроил одновременно: провайдер помимо первой серии адресов вменил обязательно прописать на внешнем интерфейсе адрес из серии у.у.у.217 при шлюзе у.у.у.218 и маске /30. Как я ни крутился с настройками - мне не удалось пробросить порты, чтобы из инета был прямой доступ на веб-сервер, сидящий, допустим, на адресе х.х.х.94 (порты http 80, mysql 3306 b ang 21), так же не удалось напрямую выбросить в инет трафик с голосовых шлюзов. Представитель провайдера утверждает, что это из-за фаервола и NAT'a и их надо отключить (если отключить - приключений не будет, кроме отсутствующего инета - сервера сами по себе достойно защищены). Так ли это и как можно решить мой вопрос? Только учтите, пожалуйста, что я не сетевик, имею только весьма посредственный навык настройки роутеров.
внешняя сеть: IP у.у.у.217/30, gateway y.y.y.218, DNS 1: 193.232.88.17 2: 194.84.23.125
внутренняя сеть: ip х.х.х.80-94/28, gateway х.х.х.80, DNS 1: 193.232.88.17 2: 194.84.23.125

З.Ы. под прямым доступом к веб-серверу имею в виду следующее: кто-то вне офиса, из дома, набрал в адресной строке браузера айпишник х.х.х.94 (например) и получил страничку, лежащую на веб-сервере
веб-сервер, шлюзы и прокся "живут" в одной сети серии х.х.х.80/28


nitro
Сообщения: 17
Зарегистрирован: 03 июл 2013, 04:41

"что это из-за фаервола и NAT'a" - это факт. Вообще честно провайдер гонит какой то бред, либо я что-то не знаю.
Если он выдал вам белый адрес, то он и должен прописываться на внешнем интерфейсе, тем более диапазон адресов.

На всякий случай в фаерволе открываете входящие соединения для транзитного трафика на ваш публичный сервер, в nat нужно пробрасывать так:

в цепочке dnat

назначение айпишник х.х.х.94

например
Chain dstnat
Dst. Address 32.33.33.94
Protocol тср
Dst. Port 80

Action dst-nat
To Addresses 192.168.1.10 (адрес локал веб сервера)
To Ports 80


Ответить