Jump to content
Калькуляторы

Микротик. Перенаправление порта

Reply to this topic

g3fox   

g3fox
Posted

укажите входящий интерфейс в правиле

 

Больше ничего не пишите...

 

Вы уверены, что проброс не работает? В фоне я вижу, что правило обработало 288 B.

Возможные варианты:

1. Проблема в файрволе на самом ПК.

2. Микротик не является шлюзом для 88.2.

3. Насколько я понял у Вас отсутствует правило, которое разрешает трафик на 88.2 dst-port 3389. Не знаю, что у вас за 5-е и 6-е правила, но скорее всего это ESTABLISHED и RELATED., вот после них и добавьте.

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted

В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный.

Share this post

Link to post
Share on other sites

g3fox   

g3fox
Posted

В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный.

 

Ещё один эксперт...

Само правило у него работает.

Счётчик там растёт.

Share this post

Link to post
Share on other sites

zorn   

zorn
Posted (edited)
В фоне я вижу, что правило обработало 288 B.

Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ?

Хотя хвалю за экстрасенсорные возможности )

 

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

Edited by zorn

Share this post

Link to post
Share on other sites

garald50   

garald50
Posted (edited)

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

Edited by garald50

Share this post

Link to post
Share on other sites

g3fox   

g3fox
Posted
В фоне я вижу, что правило обработало 288 B.

Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ?

Хотя хвалю за экстрасенсорные возможности )

 

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

 

ОМГ. Каком ещё инпуте?

Третий эксперт.

Прям перепись какая-то.

Share this post

Link to post
Share on other sites

g3fox   

g3fox
Posted

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

 

 

Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

И перетащите выше, чем у вас drop.

Netmap не делайте, верните как было: dst-nat.

И этих экспертов не слушайте.

Трое из них не понимают что вообще говорят.

Share this post

Link to post
Share on other sites

LLatypov   

LLatypov
Posted (edited)

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

 

 

Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

И перетащите выше, чем у вас drop.

Netmap не делайте, верните как было: dst-nat.

И этих экспертов не слушайте.

Трое из них не понимают что вообще говорят.

Решение рабочее

chain=dstnat action=netmap to-addresses=192.168.50.4 to-ports=8000 protocol=tcp in-interface=ether1 dst-port=8000 log=no log-prefix=""

 

И еще с какой машины проверяешь? Сдается мне с машины которая находится в локальной сети. Если так, то такая схема работать не будет

Edited by LLatypov

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted

g3fox, хамить не надо, свои телепатические способности с апломбом пожалуйста в зеркало, здесь без них обойдутся.

 

что нужно показать? (какая команда)

Есть ли ответ порта по [telnet <ваш внешний ip> 3389] с другого подключения + секции /ip firewall filter и /ip firewall nat из вывода в терминале по export compact.

Share this post

Link to post
Share on other sites

garald50   

garald50
Posted

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить?

Share this post

Link to post
Share on other sites

g3fox   

g3fox
Posted

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить?

 

Слева в меню есть кнопка "New terminal". Она вызывает консоль. Собственно, в неё и вводить.

Но вот как ввести его в нужную позицию я, к сожалению, не знаю. Поэтому потом перейдите на вкладку IP - Firewall, и там перетащите это новое правило выше, чем у Вас правило с действием DROP.

Либо можете вручную создать это правило прям в меню IP - Firewall.

Share this post

Link to post
Share on other sites

corlovito   

corlovito
Posted (edited)
Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

 

а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ?

Edited by corlovito

Share this post

Link to post
Share on other sites

g3fox   

g3fox
Posted
Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

 

а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ?

 

Да, лоханулся, разумеется имел ввиду dst-address=192.168.88.2:

/ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389

Share this post

Link to post
Share on other sites

corlovito   

corlovito
Posted

Но вот как ввести его в нужную позицию я, к сожалению, не знаю.

 

place-before=0 поместит на самый верх, т.е цифрой указываете перед каким номером разместить

Share this post

Link to post
Share on other sites

LLatypov   

LLatypov
Posted (edited)

1. Отключи полностью все правила и проверь.

2. Какой внешний ип с которого проверяешь.

3. Комп на который ты radmin прокидываешь в инет выходит?

Edited by LLatypov

Share this post

Link to post
Share on other sites

garald50   

garald50
Posted

1. Какие правила отключить и что это покажет?

2. Внешний ип 91,215,77,4 с которого проверяю. Но проверяю тоже из локальной сети с ПК, который выходит в интет через нат.

3. Выходит. Счас тестирую доступ внутри этой удаленной подсети (192,168,88,0/24) через ТимВьюер. Подключаюсь к серверу уд раб столов (192,168,88,2) с пк 192,168,88,100 - всё ок. Из интернета не работает

Share this post

Link to post
Share on other sites

garald50   

garald50
Posted

тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать

да я просто так написал про ТВ. а про локальную сеть написал к тому, что терминальный сервер работает

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...