Russian Users MikroTik | Форум пользователей MikroTik

Будет ли работать? И если будет то в каких случаях используется?
Я всегда предполагал, что при пробросе порта нужен адрес получателя, а в этом правиле он пропущен. При этом микротик его воспринимает спокойно. Но куда тогда будет отправлен пакет?

Логирование воткнуть и понятно будет чего там происходит

У себя попробовал, судя по логам никакого практического действия данное правило не выполняет )))

Ну я тут тоже поэкспериментировал.
Правда пришлось проводить опыты на вайфай бридже, который до понедельника точно никто использовать не будет и к которому у меня есть доступ в любое время. Но так как все клиенты ушли до понедельника, пришлось тестировать только на этой паре микротиков. Первый подключен к интернету и натит, второй просто бриджем между вайфай и эзернетом


Запускаем винбокс с указанием IP:8045 и... попадаем на первый микротик. Т.е. правило привело к порту 8291 самого маршрутизатора.
В логах есть запись о срабатывании правила, но по логам результата нет. По этому не могу понять правило просто ничего не делает, или всетаки пробрасывает порт на себя, но уже за натом?

Скорее попадете на хост, где будет этот порт слушаться

seregaelcin писал(а):Скорее попадете на хост, где будет этот порт слушаться

это как ? )))

Продолжение экспериментов:
конфигурация сети:
Микротик1 - rb2011 подключен первым эзернетом к провайдеру, остальные собраны в бридж. на бридже IP 192.168.1.1
Микротик2 и Микротик3 - rb951 все эзернеты и вайфай собраны в бридж, на бридже IP 192.168.1.11 и 192.168.1.12 соответственно
У всех открыт доступ к сервису винбокса по порту 8291 на всех интерфейсах

На Микротик1 добавляем правило:Запускаем винбокс с указанием IP:8045 попадаем на Микротик1
Меняем на Микротик1 порт для сервиса винбокса на 8292, запускаем винбокс с указанием IP:8045 и не попадаем никуда. Т.е. Даже имея в локальной сети Микротик2 и Микротик3 которые слушают порт 8291, входящий пакет до них не доходит.
Если в правиле заменить action=dst-nat на action=netmap то происходит тоже самое. Если на Микротик1 порт 8291 открыт, то попадаем не него, иначе никуда.

Ну и на последок два интересных момента про netmap

1. При добавлении правила с отсутствующим IP назначения у микротика слегка сносит крышу. Статистика по всем правилам НАТ показывает, что мы скачали весь интернет а количество пакетов по некоторым становится отрицательным
2. Если в правиле указать to-addresses=192.168.1.11 и потом удалить этот параметр, то правило все равно будет срабатывать и будем попадать на Микротик2 даже если на первом порт 8291 открыт (естественно все соединения перед проверкой удалялись) Правило срабатыват даже через 10 часов после удаления адреса назначения (возможно до перезагрузки)

Запускаем винбокс с указанием IP:8045 попадаем на Микротик1
Меняем на Микротик1 порт для сервиса винбокса на 8292, запускаем винбокс с указанием IP:8045 и не попадаем никуда. Т.е. Даже имея в локальной сети Микротик2 и Микротик3 которые слушают порт 8291, входящий пакет до них не доходит.
Если в правиле заменить action=dst-nat на action=netmap то происходит тоже самое. Если на Микротик1 порт 8291 открыт, то попадаем не него, иначе никуда.

Ну так то же ожидаемо.

Я вот только понять не могу как у вас в голове складывается цепочка позволяющая сделать заключение что подобное правило само прокинет трафик до железки которые смотрит этим портом в сеть?

То что вы попадаете в винбокс непосредственно на микротике где это правило - это вполне объяснимо, а вот дальше...