Добрый день, подскажите пожалуйста как можно решить следующую задачу, своими силами справиться пока не получается:
роутер Mikrotik 951G-2HnD, прошивка 6.39.1. Включен веб-интерфейс WebFig, работающий на 80 порту. Адрес самого роутера 192.168.0.1, локальная сеть соответственно - 192.168.0.0/24
Хотелось бы сделать следующее - чтобы из локальной сети WebFig был доступен на стандартном 80-м порту (т.е. изнутри открывался по http://192.168.0.1:80), а снаружи при обращений на внешний WAN IP - по порту 8080, т.е. http://a.b.c.d:8080, где a.b.c.d - внешний IP.
Я добавил правило в nat, которое редиректит пакеты tcp 8080 с внешнего Ether1-WAN интерфейса на 80ый порт. Проверил - снаружи подключение на 8080 невозможно. Тогда в раздел Filters я добавил в цепочку input правило, разрещающее 80 порт - после этого заработало и подключение по 8080, и просто по 80 порту.
Вот настройки firewall:
chain=input action=accept protocol=tcp dst-port=80 log=no
chain=dstnat action=redirect to-addresses=192.168.0.1 to-ports=80 protocol=tcp in-interface=ether1-WAN dst-port=80 log=yes
Не могу сообразить как сделать так, чтобы доступ снаружи был по 8080 порту (и только по нему), а изнутри по стандартному 80.
WebFig и доступ снаружи
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Почему нельзя сделать и снаружи и из локальной сети по порту 8080??? Облегчить, так сказать себе задачу?
И на время экспериментов полностью отключите все правила фаерволла.
И на время экспериментов полностью отключите все правила фаерволла.
-
antonkedrov
- Сообщения: 6
- Зарегистрирован: 08 июн 2017, 13:45
сделать так можно, это пожалуй самое простое решение.
но мне интересно, как можно сделать ту схему, что я описал. дело в том, что до Микротик у меня был роутер другого производителя (гораздо менее продвинутый в плане кол-ва настроек) - и на этом роутере данная схема реализована была в одно правило в разделе firewall.
но мне интересно, как можно сделать ту схему, что я описал. дело в том, что до Микротик у меня был роутер другого производителя (гораздо менее продвинутый в плане кол-ва настроек) - и на этом роутере данная схема реализована была в одно правило в разделе firewall.
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Вот так, например, chain=dstnat action=dst-nat to-addresses=192.168.77.10 to-ports=3389 protocol=tcp in-interface=pppoe-out1 dst-port=4000 log=no log-prefix=""
-
antonkedrov
- Сообщения: 6
- Зарегистрирован: 08 июн 2017, 13:45
данное правило - это проброс с внешнего интерфейса порта 4000 на порт 3389 рабочей станции 192.168.77.10, верно?
дело в том, что просто пробросить порт с внешнего интерфейса на какую то станцию в локальной сети я знаю как. например, я пробросил порт 10022 на 22 порт рабочей станции внутри сети - и всё прекрасно работает.
у меня не получается сделать именно то что я описал в 1 посте.
дело в том, что просто пробросить порт с внешнего интерфейса на какую то станцию в локальной сети я знаю как. например, я пробросил порт 10022 на 22 порт рабочей станции внутри сети - и всё прекрасно работает.
у меня не получается сделать именно то что я описал в 1 посте.
-
seregaelcin
- Сообщения: 176
- Зарегистрирован: 27 фев 2016, 17:12
При обращении на нужный порт растут ли счетчики на правиле нат?
Обладатель Mikrotik RB2011UAS-2HnD-IN
-
seregaelcin
- Сообщения: 176
- Зарегистрирован: 27 фев 2016, 17:12
chain=input - это входящие подключения на маршрутизатор
chain=forward - через маршрутизатор
Вот мой рабочий конфиг файрвола который блочит все + проброс
/ip firewall filter
add action=accept chain=input comment="Protect router" protocol=icmp
add action=accept chain=input connection-state=established in-interface=pppoe-out1
add action=accept chain=input connection-state=related in-interface=pppoe-out1
# Разгружает CPU при использовании NAT-трансляций (можно не использовать)
#add action=fasttrack-connection chain=forward connection-state=established,related
#add action=accept chain=forward connection-state=established,related
add action=accept chain=forward disabled=yes dst-port=22282 in-interface=pppoe-out1 protocol=tcp / помещаем над action=drop, иначе будет блочить
add action=drop chain=input in-interface=pppoe-out1
add action=jump chain=forward comment="Protect lan" in-interface=pppoe-out1 jump-target=customer
add action=accept chain=customer connection-state=established
add action=accept chain=customer connection-state=related
add action=drop chain=customer
/ip firewall nat
add action=dst-nat chain=dstnat comment=Zabbix dst-port=22282 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.38 to-ports=80
chain=forward - через маршрутизатор
Вот мой рабочий конфиг файрвола который блочит все + проброс
/ip firewall filter
add action=accept chain=input comment="Protect router" protocol=icmp
add action=accept chain=input connection-state=established in-interface=pppoe-out1
add action=accept chain=input connection-state=related in-interface=pppoe-out1
# Разгружает CPU при использовании NAT-трансляций (можно не использовать)
#add action=fasttrack-connection chain=forward connection-state=established,related
#add action=accept chain=forward connection-state=established,related
add action=accept chain=forward disabled=yes dst-port=22282 in-interface=pppoe-out1 protocol=tcp / помещаем над action=drop, иначе будет блочить
add action=drop chain=input in-interface=pppoe-out1
add action=jump chain=forward comment="Protect lan" in-interface=pppoe-out1 jump-target=customer
add action=accept chain=customer connection-state=established
add action=accept chain=customer connection-state=related
add action=drop chain=customer
/ip firewall nat
add action=dst-nat chain=dstnat comment=Zabbix dst-port=22282 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.38 to-ports=80
Обладатель Mikrotik RB2011UAS-2HnD-IN
-
antonkedrov
- Сообщения: 6
- Зарегистрирован: 08 июн 2017, 13:45
seregaelcin писал(а):При обращении на нужный порт растут ли счетчики на правиле нат?
да, счетчики растут, но соединение не устанавливается.
если в раздел filters добавляю в цепочку Input правило разрешающее 80ый порт - то соединение устанавливается и по 8080 порту, и по 80 (но мне нужно только чтобы по 8080 снаружи был доступ).
а те правила что вы привели - я не вижу в них проброс порта на сам роутер, на его какой нибудь сервис.
а просто проброс на какую либо машину в локальной сети - я делал и он работает. не получается конкретная вещь - проброс порта снаружи (8080) на порт 80 самого микротика.
-
podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
antonkedrov писал(а):проброс порта снаружи (8080) на порт 80 самого микротика.
Это не очень-то понятный финт ушами, простите. Не проще ли в таком случае вам просто в IP->Services напротив сервиса www поставить порт 8080 и в качестве сети проставить 0.0.0.0/0, в фаерволе открыть в цепочке input порт 8080 и поднять это правило вверх?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
antonkedrov
- Сообщения: 6
- Зарегистрирован: 08 июн 2017, 13:45
Да, именно финт ушами. Мне чуть выше, почти сразу же именно так и посоветовали сделать - перевесить webfig на 8080 порт и открыть его снаружи. Я и сам знаю, что так наверное быстрее и проще. Но, у меня есть два роутера (zyxel и asus) - где именно такая схема (8080 снаружи и 80 внутри) сделана буквально нажатием одной кнопки. Соответственно приобретя Микротик и настраивая удаленный доступ к нему я попытался реализовать ту же схему, но ничего не получилось. С чем и обратился сюда, интересно можно ли все таки решить эту задачу.