Страница 3 из 4

Re: Проброс портов

Добавлено: 08 авг 2013, 15:18
xelavopelk
simpl3x писал(а):Не, давайте отделять мух от котлет )) и filter и nat тут работают, просто сначало отрабатывает фильтр, а потом нат. Для того что бы понять, что не так, покажте полный листинг правил фильтра и нат
/ip firewall nat expot
/ip firewall filter export



ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=WAN-IP to-addresses=0.0.0.0
add action=dst-nat chain=dstnat disabled=no dst-address=БелыйИП dst-port=\
8089 protocol=tcp to-addresses=192.168.0.54 to-ports=8089



ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no \
protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
established disabled=no
add action=accept chain=input comment="default configuration" connection-state=\
related disabled=no
add action=drop chain=input comment="default configuration" disabled=no \
in-interface=WAN-IP
add action=accept chain=forward comment="default configuration" \
connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" \
connection-state=related disabled=no
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=no



Я добавил только вот это:
"add action=dst-nat chain=dstnat disabled=no dst-address=БелыйИП dst-port=\
8089 protocol=tcp to-addresses=192.168.0.54 to-ports=8089"
Остальное было "при покупке".
ЗЫ "ip firewall filter add action=accept chain=input dst-port=8089 protocol=tcp" в листинге нет, оно удалено

Re: Проброс портов

Добавлено: 08 авг 2013, 15:24
xelavopelk
С добавленым правилом на файрволе:
ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no \
protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
established disabled=no
add action=accept chain=input comment="default configuration" connection-state=\
related disabled=no
add action=drop chain=input comment="default configuration" disabled=no \
in-interface=WAN-IP
add action=accept chain=forward comment="default configuration" \
connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" \
connection-state=related disabled=no
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=no
add action=accept chain=input disabled=no dst-port=8089 protocol=tcp

Re: Проброс портов

Добавлено: 08 авг 2013, 15:29
plin2s
уберите dst-address=БелыйИП, оставьте только dst-port
и удалите правило фаервола для порта

Re: Проброс портов

Добавлено: 08 авг 2013, 15:40
xelavopelk
plin2s писал(а):уберите dst-address=БелыйИП, оставьте только dst-port
и удалите правило фаервола для порта

Убрал, не помогло.
ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=WAN-IP to-addresses=0.0.0.0
add action=dst-nat chain=dstnat disabled=no dst-port=8089 protocol=tcp \
to-addresses=192.168.0.54 to-ports=8089


ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no \
protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
established disabled=no
add action=accept chain=input comment="default configuration" connection-state=\
related disabled=no
add action=drop chain=input comment="default configuration" disabled=no \
in-interface=WAN-IP
add action=accept chain=forward comment="default configuration" \
connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" \
connection-state=related disabled=no
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=no

Re: Проброс портов

Добавлено: 08 авг 2013, 15:47
plin2s
Странно.
Попробуйте из правила

Код: Выделить всё

add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=WAN-IP to-addresses=0.0.0.0

убрать

Код: Выделить всё

to-addresses=0.0.0.0

Re: Проброс портов

Добавлено: 08 авг 2013, 15:51
xelavopelk
plin2s писал(а):Странно.
Попробуйте из правила

Код: Выделить всё

add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=WAN-IP to-addresses=0.0.0.0

убрать

Код: Выделить всё

to-addresses=0.0.0.0

Старое правило "остановил", новое добавил:
ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=yes \
out-interface=WAN-IP to-addresses=0.0.0.0
add action=dst-nat chain=dstnat disabled=no dst-port=8089 protocol=tcp \
to-addresses=192.168.0.54 to-ports=8089
add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=WAN-IP


Не помогло :cry:
ЗЫ На всякий случай, локальный ip существует, пингуется, файрвол на нём отключён, сервис, который запрашивается по белому ip и порту 8089 локально доступен.

Re: Проброс портов

Добавлено: 08 авг 2013, 15:54
plin2s
Тогда предлагаю, чтобы не гадать, в винбоксе сброить все счетчики firewall и nat, и посмотреть какое из правил будет отрабатывать при попытках подключения из-вне.
Где-то счетчик будет расти.

Re: Проброс портов

Добавлено: 08 авг 2013, 16:35
xelavopelk
plin2s писал(а):Тогда предлагаю, чтобы не гадать, в винбоксе сброить все счетчики firewall и nat, и посмотреть какое из правил будет отрабатывать при попытках подключения из-вне.
Где-то счетчик будет расти.


ip firewall nat print stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 X ;;; default configuration
srcnat masquerade 0 0
1 dstnat dst-nat 0 0
2 ;;; default configuration
srcnat masquerade 52 1


ip firewall filter print stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 ;;; default configuration
input accept 0 0
1 ;;; default configuration
input accept 42 607 450
2 ;;; default configuration
input accept 0 0
3 ;;; default configuration
input drop 28 366 158
4 ;;; default configuration
forward accept 832 9
5 ;;; default configuration
forward accept 0 0
6 ;;; default configuration
forward drop 80 2

Re: Проброс портов

Добавлено: 08 авг 2013, 16:53
plin2s
И какое из них увеличивается при попытках подключения?

Re: Проброс портов

Добавлено: 08 авг 2013, 16:55
xelavopelk
plin2s писал(а):И какое из них увеличивается при попытках подключения?

Я не смог уловить... :(
Несколько увеличивается. В NAT-е не увеличивается вроде бы.