Страница 1 из 2
Проброс портов
Добавлено: 19 сен 2014, 16:30
impulse
Всем привет. Знаю избитая тема, но до сего дня проблем с пробросом у меня раньше не возникало.
Хочу пробросить RDP порт, с внешнего белого статического ip на внутренний. (RB751G-2HnD, RouteOS 6.17)
Код: Выделить всё
[admin@MikroTik] > ip firewall nat print all
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1
1 chain=dstnat action=dst-nat to-addresses=10.0.8.5 to-ports=3389
protocol=tcp dst-address=1.1.1.1 dst-port=33900
Код: Выделить всё
[admin@MikroTik] > ip firewall filter print all
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept protocol=icmp
1 chain=input action=accept connection-state=established in-interface=ether1
2 chain=input action=accept connection-state=related in-interface=ether1
3 X chain=input action=accept protocol=tcp dst-port=33900
4 chain=input action=drop in-interface=ether1
5 chain=forward action=jump jump-target=customer in-interface=ether1
6 chain=customer action=accept connection-state=established
7 chain=customer action=accept connection-state=related
8 ;;; RDP Rule
chain=customer action=accept protocol=tcp dst-port=33900
9 chain=customer action=drop
Подключение не происходит, где я ошибся?
Re: Проброс портов
Добавлено: 19 сен 2014, 18:03
gmx
Сколько раз уже писалось: когда не работает проброс портов, временно для проверки выключайте все правила фаерволла.
И еще очень важный момент: очень желательно, чтобы микротик был шлюзом на компе, к которому осуществляется RDP.
Re: Проброс портов
Добавлено: 21 сен 2014, 10:37
siroc-co
Тоже прошу помощи по пробросу.
Router OS v.6.19 (CRS109-8G-1S-2HnD)
Интернет по L2TP билайн на ether1 (corbina-l2tp)
Сеть: 192.168.1.0/24
Адрес роутера: 192.168.1.1
Адрес web сервера 192.168.1.2
Задача: пробросить порт 80 снаружи до web сервера в локалке. Номер порта стандартного веб интерфейса роутера изменён(не 80), и веб интерфейс роутера отключен. В /ip firewall - Filter Rules пусто.
И так, сделано:
Теперь сайт стал доступен из интернета, проброс работает. НО! Работает только из вне. Если я сидя из под роутера пытаюсь перейти на сайт, то не получается, ресурс не доступен. Как сделать, чтоб можно было и из локалки переходить на этот домен?
Пробовал так:
И ещё так:
В итоге:
Но не работает. Что где я упустил? Где накосячил?
Вообще таких портов нужно пробросить около 15. Они не подряд идут. Так на каждый порт по три правила задавать, как-то не очень... Некоторые порты нужно оперативно перекрывать\открывать. Как-то проще можно сделать?
Re: Проброс портов
Добавлено: 21 сен 2014, 14:16
Dragon_Knight
Re: Проброс портов
Добавлено: 21 сен 2014, 23:58
siroc-co
Ну так не сделать ли отдельную ветку, с подробным описанием, скринами, примерами? Я пытался найти поиском, но как-то попадал только на вопросы. Было бы структурировано, не спрашивали, гуглить умеем. А то фиг наёдёшь чего.
P.S. Спасиб, то что я искал было тут:
http://wiki.mikrotik.com/wiki/Hairpin_NAT
Re: Проброс портов
Добавлено: 22 сен 2014, 01:23
Dragon_Knight
Есть ещё способ, - маскарадить локальную сеть за исключением IP сервера. Так получим доступ к серверу используя одно правило. Из минусов это то, что сервер будет видеть IP не локального компа а IP роутера.
Re: Проброс портов
Добавлено: 22 сен 2014, 09:10
siroc-co
Dragon_Knight писал(а):Есть ещё способ, - маскарадить локальную сеть за исключением IP сервера. Так получим доступ к серверу используя одно правило. Из минусов это то, что сервер будет видеть IP не локального компа а IP роутера.
Блин! С утра с работы пошёл на сервер, а он мне "Доступ закрыт, обратись к админу". Чё за...
Оказалось, что всё идёт от 192.168.1.1. И так как на любую авторизацию есть защита от брута, это адрес заблокирован. Тоесть ВСЕ заблокированы!
Отключил вход из локалки по внешнему адресу, оставил только проброс. Теперь IP корректно видит. Но это не выход.
Как сделать по нормальному? Делал всё как тут:
http://wiki.mikrotik.com/wiki/Hairpin_NAT , в моём случае даже IP совпадают, кроме внешнего.
Как подправить, чтоб и из локалки ходил, и IP корректно определял?
Re: Проброс портов
Добавлено: 22 сен 2014, 12:00
impulse
Микротик является шлюзом. После отключения 5-го правила, проброс портов заработал. Теперь понятно, что проблема в цепочке customer, но как исправить теперь правило, не отключая цепочку?
Re: Проброс портов
Добавлено: 22 сен 2014, 13:11
impulse
Вопрос решил. Указал в правилах файервола ошибочный порт.
Re: Проброс портов
Добавлено: 22 сен 2014, 14:25
siroc-co
Как быть, как только добавляю это:
Код: Выделить всё
/ip firewall nat
add chain=srcnat out-interface=WAN action=masquerade
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.2 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade
Сразу перестаёт определять IP входящих клиентов:
1 - правила выключены, но тогда из локалки нет доступа.
2 и 3 -правила включены, из локалки есть доступ, но не определяет реальный IP.
Что можно сделать?
