Глупые вопросы.
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
С вешним IP затык - он динамический, но ради интереса попробовал, не прокатило. Быть может есть другой вариант развернуть запросы на внутренний адрес?
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Ситуация немного прояснилась, но без сторонней помощи знающих не разберусь. В общем, решил продолжить настройку и открыть 80ый порт для доступа к вебморде WHS и выяснил слудующее: Запросы снаружи прилетают как положено, с перенаправлением на домашний серв, но из лан, по запросу внешнего адреса(ddns имени то же) меня кидает на вэбморду микротика, получается раньше и по 9091у порту и по 3389у то же я стучался не на машину которую хотел, а на микротик. Вопрос, как это вылечить?
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
посмотрите документацию
viewtopic.php?f=8&t=6
разделы firewall (чтобы представлять цепочки файрволла)
и NAT - там описанны все технологии, а внизу есть вполне рабочие примеры по пробросу портов
viewtopic.php?f=8&t=6
разделы firewall (чтобы представлять цепочки файрволла)
и NAT - там описанны все технологии, а внизу есть вполне рабочие примеры по пробросу портов
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
anton
- Сообщения: 2
- Зарегистрирован: 25 ноя 2011, 11:45
Добрый День!
Подсказите пожалуйста. Не получается настроить проброс RDP портa
ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=dst-nat to-addresses=192.168.1.5 to-ports=3389
protocol=tcp dst-address=91.210.46.111 dst-port=3389
1 ;;; default configuration
chain=srcnat action=masquerade out-interface=pppoe-out1
=============================================
ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp
1 ;;; default configuration
chain=input action=accept connection-state=established
in-interface=ether1-gateway
2 ;;; default configuration
chain=input action=accept connection-state=related
in-interface=ether1-gateway
3 chain=forward action=accept protocol=tcp dst-address=192.168.1.5
dst-port=3389
4 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway
Подсказите пожалуйста. Не получается настроить проброс RDP портa
ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=dst-nat to-addresses=192.168.1.5 to-ports=3389
protocol=tcp dst-address=91.210.46.111 dst-port=3389
1 ;;; default configuration
chain=srcnat action=masquerade out-interface=pppoe-out1
=============================================
ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp
1 ;;; default configuration
chain=input action=accept connection-state=established
in-interface=ether1-gateway
2 ;;; default configuration
chain=input action=accept connection-state=related
in-interface=ether1-gateway
3 chain=forward action=accept protocol=tcp dst-address=192.168.1.5
dst-port=3389
4 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
iSupport писал(а):посмотрите документацию
viewtopic.php?f=8&t=6
разделы firewall (чтобы представлять цепочки файрволла)
и NAT - там описанны все технологии, а внизу есть вполне рабочие примеры по пробросу портов
Правило "внизу" вроде как раз то, по которому я и колбасил свой тик. Может у меня чего то не хватает, или что то в фаерволе откорректировать, сам я не додумаюсь, посему просите любые данные предоставлю все возможное.
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
правило проброса должно выглядеть так
chain=dstnat action=dst-nat to-addresses=192.168.1.254 to-ports=3389 protocol=tcp dst-address=8.8.8.8 dst-port=8280
при запросе на микротик по адресу 8.8.8.8 на порт 8280 микротик пересылает запросы локальной машине 192.168.1.254 на порт 3389
если у Вас стоит в фильтре правило drop input - то порт необходимоо открыть отдельным правилом
chain=dstnat action=dst-nat to-addresses=192.168.1.254 to-ports=3389 protocol=tcp dst-address=8.8.8.8 dst-port=8280
при запросе на микротик по адресу 8.8.8.8 на порт 8280 микротик пересылает запросы локальной машине 192.168.1.254 на порт 3389
если у Вас стоит в фильтре правило drop input - то порт необходимоо открыть отдельным правилом
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
"dst-address=8.8.8.8" это как я понимаю внешний ИП мой? Он у меня динамический, за сутки раза 2-3 влегкую может смениться, провайдер инет предоставляет посредствам PPPoE, как быть без него?
ip firewall nat print
0 ;;; Added by webbox
chain=srcnat action=masquerade src-address-list=inet out-interface=domolink
1 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=9091 protocol=tcp in-interface=domolink
dst-port=9091
2 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=3389 protocol=tcp in-interface=domolink
dst-port=3389
3 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=9750 protocol=tcp in-interface=domolink
dst-port=9750
4 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=11111 protocol=tcp in-interface=domolink
dst-port=11111
5 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=11111 protocol=udp in-interface=domolink
dst-port=11111
6 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=80 protocol=tcp in-interface=domolink dst-port=80
7 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=443 protocol=tcp in-interface=domolink dst-port=443
8 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=4125 protocol=tcp in-interface=domolink
dst-port=4125
З.Ы. "domolink" PPPoE соединение, без "in-interface=domolink" в правиле любого из выше перечисленных пробросов невозможно по этим портам выйти вовнешку, то есть если я пробросил RDP(3389) и в правиле нет "in-interface=domolink"(или eth1) то из дома подключится к любой другой машине где то там я не смогу, но извне подключится к своей машине могу. Указать "dst-address=" пробовал, но это то же не помогало, из локалки по DDNS запросу все равно не происходит перенаправление, точнее происходит но как я понял на сам тик, а не на машину которую хочу.
ip firewall filter print
0 ;;; Added by webbox
chain=input action=accept protocol=icmp
1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=domolink
2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=domolink
3 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=3389
4 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=9091
5 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=9750
6 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=11111
7 chain=forward action=accept protocol=udp dst-address=192.168.11.10
dst-port=11111
8 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=80
9 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=443
10 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=4125
11 ;;; Added by webbox
chain=input action=drop in-interface=domolink
12 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=domolink
13 ;;; Added by webbox
chain=customer action=accept connection-state=established
14 ;;; Added by webbox
chain=customer action=accept connection-state=related
15 ;;; Added by webbox
chain=customer action=drop
Тут вроде все пучком?
З.З.Ы. На всякий случай напоминаю, сам проброс работает, извне все эти порты видны по ним можно подключаться и все в порядке. Но если я из локалки, которая находится за этим тиком, попробую так же по DDNS имени попасть на вэбморду хоум серва то увижу вэбинтерфейс тика.
ip firewall nat print
0 ;;; Added by webbox
chain=srcnat action=masquerade src-address-list=inet out-interface=domolink
1 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=9091 protocol=tcp in-interface=domolink
dst-port=9091
2 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=3389 protocol=tcp in-interface=domolink
dst-port=3389
3 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=9750 protocol=tcp in-interface=domolink
dst-port=9750
4 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=11111 protocol=tcp in-interface=domolink
dst-port=11111
5 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=11111 protocol=udp in-interface=domolink
dst-port=11111
6 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=80 protocol=tcp in-interface=domolink dst-port=80
7 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=443 protocol=tcp in-interface=domolink dst-port=443
8 chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=4125 protocol=tcp in-interface=domolink
dst-port=4125
З.Ы. "domolink" PPPoE соединение, без "in-interface=domolink" в правиле любого из выше перечисленных пробросов невозможно по этим портам выйти вовнешку, то есть если я пробросил RDP(3389) и в правиле нет "in-interface=domolink"(или eth1) то из дома подключится к любой другой машине где то там я не смогу, но извне подключится к своей машине могу. Указать "dst-address=" пробовал, но это то же не помогало, из локалки по DDNS запросу все равно не происходит перенаправление, точнее происходит но как я понял на сам тик, а не на машину которую хочу.
ip firewall filter print
0 ;;; Added by webbox
chain=input action=accept protocol=icmp
1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=domolink
2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=domolink
3 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=3389
4 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=9091
5 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=9750
6 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=11111
7 chain=forward action=accept protocol=udp dst-address=192.168.11.10
dst-port=11111
8 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=80
9 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=443
10 chain=forward action=accept protocol=tcp dst-address=192.168.11.10
dst-port=4125
11 ;;; Added by webbox
chain=input action=drop in-interface=domolink
12 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=domolink
13 ;;; Added by webbox
chain=customer action=accept connection-state=established
14 ;;; Added by webbox
chain=customer action=accept connection-state=related
15 ;;; Added by webbox
chain=customer action=drop
Тут вроде все пучком?
З.З.Ы. На всякий случай напоминаю, сам проброс работает, извне все эти порты видны по ним можно подключаться и все в порядке. Но если я из локалки, которая находится за этим тиком, попробую так же по DDNS имени попасть на вэбморду хоум серва то увижу вэбинтерфейс тика.
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
добавьте chain=dstnat action=dst-nat to-addresses=192.168.11.10 to-ports=80 protocol=tcp in-interface=Локалка, ИП микротика dst-port=80
и попробуйте отключить
11 ;;; Added by webbox
chain=input action=drop in-interface=domolink
и попробуйте отключить
11 ;;; Added by webbox
chain=input action=drop in-interface=domolink
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
iSupport писал(а):Как вариант добавть DST-nat
in interface = ваша локалка
DST Адрес = твой внешник
ДСТ порт = порт проброса
Действие = DST nat
ip сервера куда
порт сервера
Нашел затык - chain=srcnat action=masquerade out-interface=domolink, вот тут автоматом(я через вэбинтерфейс создавал) создавалось out-interface=domolink, это лишнее. Если это убрать то и остальные правила DST-nat создать как вы указали(с добавлением DST Адрес = твой внешник то все работает, ресурсы доступны и из сети и из тырнета. Но еще раз повторюсь, DST Адрес = твой внешник - динамический, а без него не работает, так что осталось только решить вопрос как это обойти?