Проброс портов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
xelavopelk
Сообщения: 3
Зарегистрирован: 08 авг 2013, 11:34

simpl3x писал(а):Не, давайте отделять мух от котлет )) и filter и nat тут работают, просто сначало отрабатывает фильтр, а потом нат. Для того что бы понять, что не так, покажте полный листинг правил фильтра и нат
/ip firewall nat expot
/ip firewall filter export



ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=WAN-IP to-addresses=0.0.0.0
add action=dst-nat chain=dstnat disabled=no dst-address=БелыйИП dst-port=\
8089 protocol=tcp to-addresses=192.168.0.54 to-ports=8089



ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no \
protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
established disabled=no
add action=accept chain=input comment="default configuration" connection-state=\
related disabled=no
add action=drop chain=input comment="default configuration" disabled=no \
in-interface=WAN-IP
add action=accept chain=forward comment="default configuration" \
connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" \
connection-state=related disabled=no
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=no



Я добавил только вот это:
"add action=dst-nat chain=dstnat disabled=no dst-address=БелыйИП dst-port=\
8089 protocol=tcp to-addresses=192.168.0.54 to-ports=8089"
Остальное было "при покупке".
ЗЫ "ip firewall filter add action=accept chain=input dst-port=8089 protocol=tcp" в листинге нет, оно удалено


xelavopelk
Сообщения: 3
Зарегистрирован: 08 авг 2013, 11:34

С добавленым правилом на файрволе:
ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no \
protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
established disabled=no
add action=accept chain=input comment="default configuration" connection-state=\
related disabled=no
add action=drop chain=input comment="default configuration" disabled=no \
in-interface=WAN-IP
add action=accept chain=forward comment="default configuration" \
connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" \
connection-state=related disabled=no
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=no
add action=accept chain=input disabled=no dst-port=8089 protocol=tcp


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

уберите dst-address=БелыйИП, оставьте только dst-port
и удалите правило фаервола для порта


xelavopelk
Сообщения: 3
Зарегистрирован: 08 авг 2013, 11:34

plin2s писал(а):уберите dst-address=БелыйИП, оставьте только dst-port
и удалите правило фаервола для порта

Убрал, не помогло.
ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=WAN-IP to-addresses=0.0.0.0
add action=dst-nat chain=dstnat disabled=no dst-port=8089 protocol=tcp \
to-addresses=192.168.0.54 to-ports=8089


ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no \
protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
established disabled=no
add action=accept chain=input comment="default configuration" connection-state=\
related disabled=no
add action=drop chain=input comment="default configuration" disabled=no \
in-interface=WAN-IP
add action=accept chain=forward comment="default configuration" \
connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" \
connection-state=related disabled=no
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=no


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Странно.
Попробуйте из правила

Код: Выделить всё

add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=WAN-IP to-addresses=0.0.0.0

убрать

Код: Выделить всё

to-addresses=0.0.0.0


xelavopelk
Сообщения: 3
Зарегистрирован: 08 авг 2013, 11:34

plin2s писал(а):Странно.
Попробуйте из правила

Код: Выделить всё

add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=WAN-IP to-addresses=0.0.0.0

убрать

Код: Выделить всё

to-addresses=0.0.0.0

Старое правило "остановил", новое добавил:
ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=yes \
out-interface=WAN-IP to-addresses=0.0.0.0
add action=dst-nat chain=dstnat disabled=no dst-port=8089 protocol=tcp \
to-addresses=192.168.0.54 to-ports=8089
add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=WAN-IP


Не помогло :cry:
ЗЫ На всякий случай, локальный ip существует, пингуется, файрвол на нём отключён, сервис, который запрашивается по белому ip и порту 8089 локально доступен.
Последний раз редактировалось xelavopelk 08 авг 2013, 15:56, всего редактировалось 1 раз.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Тогда предлагаю, чтобы не гадать, в винбоксе сброить все счетчики firewall и nat, и посмотреть какое из правил будет отрабатывать при попытках подключения из-вне.
Где-то счетчик будет расти.


xelavopelk
Сообщения: 3
Зарегистрирован: 08 авг 2013, 11:34

plin2s писал(а):Тогда предлагаю, чтобы не гадать, в винбоксе сброить все счетчики firewall и nat, и посмотреть какое из правил будет отрабатывать при попытках подключения из-вне.
Где-то счетчик будет расти.


ip firewall nat print stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 X ;;; default configuration
srcnat masquerade 0 0
1 dstnat dst-nat 0 0
2 ;;; default configuration
srcnat masquerade 52 1


ip firewall filter print stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 ;;; default configuration
input accept 0 0
1 ;;; default configuration
input accept 42 607 450
2 ;;; default configuration
input accept 0 0
3 ;;; default configuration
input drop 28 366 158
4 ;;; default configuration
forward accept 832 9
5 ;;; default configuration
forward accept 0 0
6 ;;; default configuration
forward drop 80 2


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

И какое из них увеличивается при попытках подключения?


xelavopelk
Сообщения: 3
Зарегистрирован: 08 авг 2013, 11:34

plin2s писал(а):И какое из них увеличивается при попытках подключения?

Я не смог уловить... :(
Несколько увеличивается. В NAT-е не увеличивается вроде бы.


Ответить