Russian Users MikroTik | Форум пользователей MikroTik

Что интересно, если правило сделать
/ip firewall raw
add action=accept chain=prerouting dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp

то правило работает(((

Создается впечатление, что вы или форум читаете через строчку, или игнорируете часть сообщений, в данном случае мои. Ну или третий вариант, вы ждали пока вам прям готовые строки напишут, как сейчас я.

1) Вот с курсов (это слегка упрощенная таблица)
http://www.mikrotik-trainings.com/docs/ ... outing.jpg

2) Попробуйте вместо dst-nat в поле Action - поставить netmap, мож иначе поведёт себя роутер...

KARaS'b писал(а):Создается впечатление, что вы или форум читаете через строчку, или игнорируете часть сообщений, в данном случае мои. Ну или третий вариант, вы ждали пока вам прям готовые строки напишут, как сейчас я.

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward dst-address=ХХ.ХХ.ХХ.146 dst-port=22 protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp to-addresses=192.168.0.195 to-ports=22

Дык я же ответил - не работает так... и не логично это в любом случае... Представим что у нас есть куча проброшенных 22-ых портов... ;)
В любом случае dmx ответил на вопрос - правила проброса срабатывают раньше, чем правило фильтров... так что фильтрами мы тут ничего не сделаем.....
Можете поэксперементировать даже - берём любой проброшенный порт и пробуем "загасить" его фильтром. Удивляемся и думаем что тут не так...
В общем выход таков - проброшенные порты можно "рубить" через raw правила.. И только так

Vlad-2 писал(а):1) Вот с курсов (это слегка упрощенная таблица)
http://www.mikrotik-trainings.com/docs/ ... outing.jpg

2) Попробуйте вместо dst-nat в поле Action - поставить netmap, мож иначе поведёт себя роутер...

Спасибо большущее за схему...!!! Всё встало на свои месте
netmap ставил... толку естественно ноль)), но благодаря схеме понятно почему

Из всего этого одно не могу понять: если порт проброшен, зачем его еще и фильтрами-то "гасить"??? Мы ведь пробрасывали его, чтобы работало, а пытаемся сделать обратное.

EdkiyGluk писал(а):

KARaS'b писал(а):Создается впечатление, что вы или форум читаете через строчку, или игнорируете часть сообщений, в данном случае мои. Ну или третий вариант, вы ждали пока вам прям готовые строки напишут, как сейчас я.

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward dst-address=ХХ.ХХ.ХХ.146 dst-port=22 protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=ХХ.ХХ.ХХ.146 dst-port=8022 protocol=tcp to-addresses=192.168.0.195 to-ports=22

Дык я же ответил - не работает так... и не логично это в любом случае... Представим что у нас есть куча проброшенных 22-ых портов... ;)
В любом случае dmx ответил на вопрос - правила проброса срабатывают раньше, чем правило фильтров... так что фильтрами мы тут ничего не сделаем.....
Можете поэксперементировать даже - берём любой проброшенный порт и пробуем "загасить" его фильтром. Удивляемся и думаем что тут не так...
В общем выход таков - проброшенные порты можно "рубить" через raw правила.. И только так

Извиняюсь, не вник до конца, думал пробросить пытаетесь.
Но тогда присоединяюсь к товарищу gmx, зачем блокировать то, что вы пробросили?

Защита проброшенных портов от кулхацкеров. Ибо если даже адрес пойман на попытке сканирования портов, спуфинге и прочих - мы не можем защитить проброшенный порт фильтрами.

Паранойя, она такая, просто так не отпустит)))

Отдельная философская тема для разговора... Но она не без оснований, увы((