Проброс портов с подменой

Обсуждение оборудования и его настройки
Закрыто
gmch
Сообщения: 2
Зарегистрирован: 31 мар 2014, 15:34

Добрый день, нужен совет по пробросу портов с подменой в mikrotik RB750.

Суть проблемы -> при обращении на ip роутера, в порт 24050, пакеты попадали на ip в сети предприятия на порт 3389.

Что было предпринято -> настраивал в WinBox, создал правило в "Firewall\Filter Rules" для порта 24050 и 3389, создал соответствующие правила в разделе "Firewall\NAT", прекрасно заработало правило с 3389, а с 24050 правило не работает, счетчики пустые, пакеты уходят в "Drop - Customer", при отключении "Drop - Customer" все работает, но счетчики правила пусты, оно не работает. Firewall настраивал через Web-интерфейс, в старой прошивке, которую обновил, была очень древней и думал, что дело в ней.
Прочитал много всего по ROUTEROS и пробросу портов и все равно никак не могу это решить.

Конфигурация Микротика
 
# jan/22/1970 05:14:44 by RouterOS 6.10
# software id = ZMT6-5NPV
#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] comment=GUEST
set [ find default-name=ether4 ] comment=LAN master-port=ether2
set [ find default-name=ether5 ] master-port=ether2
/ip neighbor discovery
set ether1 comment=WAN
set ether2 comment=LAN
set ether3 comment=GUEST
set ether4 comment=LAN
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip pool
add name=dhcp_pool2 ranges=192.168.7.1,192.168.7.100-192.168.7.150
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=ether3 lease-time=1d name=\
dhcp1
/queue simple
add dst=80.20.202.59/32 max-limit=0/3M name=Director target=192.168.5.16/32
add max-limit=0/2M name="Guest Subnet Queue" target=192.168.7.0/24
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
set 3 remote=0.0.0.0
/ip address
add address=180.60.9.202/30 interface=ether1 network=180.60.9.200
add address=192.168.5.2/24 interface=ether2 network=192.168.5.0
add address=192.168.7.2/24 interface=ether3 network=192.168.7.0
/ip dhcp-server network
add address=192.168.7.0/24 dns-server=192.168.7.2 gateway=192.168.7.2
/ip dns
set allow-remote-requests=yes max-udp-packet-size=512 servers=\
180.60.8.33,180.60.9.1
/ip firewall filter
add chain=input comment="Added by webbox" protocol=icmp
add chain=input comment="Added by webbox" connection-state=established \
in-interface=ether1
add chain=input comment="Added by webbox" connection-state=related \
in-interface=ether1
add action=drop chain=input comment="Added by webbox" in-interface=ether1
add action=jump chain=forward comment="Added by webbox" in-interface=ether1 \
jump-target=customer
add chain=customer comment="Added by webbox" connection-state=established
add chain=customer comment="Added by webbox" connection-state=related
add chain=customer dst-port=24050 protocol=tcp
add chain=customer dst-port=3389 protocol=tcp
add action=drop chain=customer comment="Added by webbox"
/ip firewall nat
add action=masquerade chain=srcnat comment="Added by webbox" out-interface=\
ether1
add action=dst-nat chain=dstnat dst-address=180.60.9.202 dst-port=24050 \
protocol=tcp to-addresses=192.168.5.100 to-ports=3389
add action=dst-nat chain=dstnat dst-address=180.60.9.202 dst-port=3389 \
protocol=tcp to-addresses=192.168.5.100 to-ports=3389
/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip proxy
set max-cache-size=none parent-proxy=0.0.0.0
/ip route
add distance=1 gateway=176.74.9.201
/ip route rule
add action=unreachable dst-address=192.168.7.0/24 src-address=192.168.5.0/24
add action=unreachable dst-address=192.168.5.0/24 src-address=192.168.7.0/24
/ip service
set telnet disabled=yes
set ftp address=192.168.5.0/24
set www address=192.168.5.0/24
/ip upnp
set allow-disable-external-interface=no enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
/queue interface
set ether1 queue=ethernet-default
set ether2 queue=ethernet-default
set ether3 queue=ethernet-default
set ether4 queue=ethernet-default
set ether5 queue=ethernet-default
/system clock
set time-zone-name=Europe/Samara
/tool graphing interface
add
/tool mac-server
add


Искренне благодарен за любую помощь!


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Так а в чём проблема?
/ip firewall nat add action=dst-nat chain=dstnat dst-address=ВНЕШНИЙ_IP dst-port=24050 protocol=tcp to-addresses=ВНУТРЕННИЙ_IP to-ports=3389


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Dragon_KnightА в цепочке input не надо еще порт 24050 разрешить?
Вроде при пробросе там обращение идет к роутеру, а мы уж потом переадресовываем, по логике вещей надо бы... У него же input закрыт, так что надо бы проверить.
Признаться, никак не дойдут руки проверить самому... :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Нуда, нада ещё разрешить инпут TCP 24050 на WAN интерфейс.....


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
gmch
Сообщения: 2
Зарегистрирован: 31 мар 2014, 15:34

Я честно запутался...

Разве этому "/ip firewall nat add action=dst-nat chain=dstnat dst-address=ВНЕШНИЙ_IP dst-port=24050 protocol=tcp to-addresses=ВНУТРЕННИЙ_IP to-ports=3389" не соответствует вот эта строка в конфигурации "add action=dst-nat chain=dstnat dst-address=180.60.9.202 (Внешний IP) dst-port=24050 (Внешний порт) \ protocol=tcp to-addresses=192.168.5.100 (Внутренний IP) to-ports=3389 (Внутренний порт)" ?
Да и это настройки Firewall - NAT он работает правильно, во всяком случае отключение правил в "Firewall - Filter Rules" это показало.

В отношении настройки "Input" - дело в том, что цепочка "Input" обрабатывает трафик предназначенный самому маршрутизатору и не обрабатывает пакеты проходящие сквозь него. Думаю, что здесь ничего открывать не надо и это показывает не активность счетчика правила которое дропает лишний трафик в цепочке "Input", вот оно "add action=drop chain=input comment="Added by webbox" in-interface=ether1" во время попытки подключения через порт 24050.

Редактировать настройки надо в цепочке "Foward" или в моем случае цепочки "Customer" (В последних версиях RouterOS удалено, вместо него используется цепочка "Foward"), потому как это правило "add action=jump chain=forward comment="Added by webbox" in-interface=ether1 \ jump-target=customer" перебрасывает все пакеты в цепочку "Customer". И при попытках подключения растет счетчик пакетов правила, дропающего левый трафик в этой цепочке, а при его отключении правило с портом 24050 работает, точнее не работает, счетчик пакетов молчит. Но соединение работает, потому как отключение дропа в этой цепочке разрешает любой трафик и далее, по идее обрабатываются правила "Firewall - Nat".

Скорее всего вы невнимательно прочитали мои вводные данные, скажите тогда почему у меня исправно работает правило с портом 3389-3389 и почему тогда не работает правило с подменой, 24050-3389?

В любом случае спасибо за совет :-)


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да пожалуйста, нам не трудно. А читали мы достаточно внимательно, а вот Вы ответы читали вскользь, там всё расписано по шагам...
Тема закрыта.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Закрыто