проброс порта, что то делаю не так помогите

Обсуждение оборудования и его настройки
Ответить
vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

Здравия всем.

Имею mikrotik 915 прошивка последняя 6,7

Была необходимость открыть в мир 21 порт для доступа к офисным шарам, сделал правило
/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=21 protocol=tcp to-addresses=192.168.88.10 to-ports=21

порт засветился, я довольный стал пользоваться удаленным доступам к шаре, но только недавно обратил внимание что мне теперь недоступны все фтп сервера во внешнем мире если я к ним обращаюсь из офисной сети, как ни странно но меня везде спрашивают пароль но от имени того хоста к которому я обращался, задумавшись что за ерунда такая я пробросил таким же правило 80 порт и вуаля набирая любой адрес интернета я попадал на офисный web сервер. Значит я что то сделал не так прошу помощи.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

У вас правило составлено недостаточно точно. Думаю, для начала, будет достаточно в правиле уточнить на какой интерфейс или из какой сети будут приходить запросы.

Я бы добавил:

Код: Выделить всё

src-address=!192.168.88.0/24


Восклицательный знак значит "все кроме" дальше идет адрес моей локальной сети.
Получается, что все что приходит не из 192.168.88.0/24 на нужный порт - будет обработано правилом.

По аналогии можно сделать с in-interface. А возможно и другие варианты подскажет кто-нибудь.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Еще посмотрите отключен ли у вас сервис на микротике
/ip service


Есть интересная задача и бюджет? http://mikrotik.site
duronus
Сообщения: 13
Зарегистрирован: 26 ноя 2013, 10:55

А netmap не проще юзать?
Даже правило прописывать не нада (кроме самого нетмапа)


Elektronik123
Сообщения: 7
Зарегистрирован: 23 дек 2013, 18:43

Просто укажите в правиле через винбокс, или измените правило, что бы был входящий интерфейс ваш ван, порт, в который воткнут кабель провайдера. Иначе, т.к. не указан интерфейс, правило распостраняется на все, и ваш запрос на этот порт перенаправляет на ваш же фтп


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

Всем спасибо, решил воспользоваться советом от duronus просто удобно и все в одном месте.


Ответить