garald50 Posted January 23, 2015 Подскажите, почему не работает проброс порта 3389 из интернета в локальную сеть на ПК 192,168,88,2. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
corlovito Posted January 23, 2015 укажите входящий интерфейс в правиле Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 23, 2015 укажите входящий интерфейс в правиле Больше ничего не пишите... Вы уверены, что проброс не работает? В фоне я вижу, что правило обработало 288 B. Возможные варианты: 1. Проблема в файрволе на самом ПК. 2. Микротик не является шлюзом для 88.2. 3. Насколько я понял у Вас отсутствует правило, которое разрешает трафик на 88.2 dst-port 3389. Не знаю, что у вас за 5-е и 6-е правила, но скорее всего это ESTABLISHED и RELATED., вот после них и добавьте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted January 23, 2015 В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 24, 2015 В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный. Ещё один эксперт... Само правило у него работает. Счётчик там растёт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zorn Posted January 25, 2015 (edited) В фоне я вижу, что правило обработало 288 B. Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ? Хотя хвалю за экстрасенсорные возможности ) Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? Edited January 25, 2015 by zorn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LLatypov Posted January 25, 2015 (edited) В разделе нат выберите dst-nat в action используйте netmap Edited January 25, 2015 by LLatypov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 26, 2015 (edited) Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? что нужно показать? (какая команда) В разделе нат выберите dst-nat в action используйте netmap сделал netmap в action - не работает. Edited January 26, 2015 by garald50 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 26, 2015 В фоне я вижу, что правило обработало 288 B. Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ? Хотя хвалю за экстрасенсорные возможности ) Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? ОМГ. Каком ещё инпуте? Третий эксперт. Прям перепись какая-то. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 26, 2015 Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? что нужно показать? (какая команда) В разделе нат выберите dst-nat в action используйте netmap сделал netmap в action - не работает. Я уже указал в чём именно у вас проблема. В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 И перетащите выше, чем у вас drop. Netmap не делайте, верните как было: dst-nat. И этих экспертов не слушайте. Трое из них не понимают что вообще говорят. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LLatypov Posted January 26, 2015 (edited) Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? что нужно показать? (какая команда) В разделе нат выберите dst-nat в action используйте netmap сделал netmap в action - не работает. Я уже указал в чём именно у вас проблема. В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 И перетащите выше, чем у вас drop. Netmap не делайте, верните как было: dst-nat. И этих экспертов не слушайте. Трое из них не понимают что вообще говорят. Решение рабочее chain=dstnat action=netmap to-addresses=192.168.50.4 to-ports=8000 protocol=tcp in-interface=ether1 dst-port=8000 log=no log-prefix="" И еще с какой машины проверяешь? Сдается мне с машины которая находится в локальной сети. Если так, то такая схема работать не будет Edited January 26, 2015 by LLatypov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 26, 2015 Хорошо, я за вами просто понаблюдаю. Тем более, что решение я уже дважды написал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted January 26, 2015 g3fox, хамить не надо, свои телепатические способности с апломбом пожалуйста в зеркало, здесь без них обойдутся. что нужно показать? (какая команда) Есть ли ответ порта по [telnet <ваш внешний ip> 3389] с другого подключения + секции /ip firewall filter и /ip firewall nat из вывода в терминале по export compact. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 26, 2015 /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 26, 2015 /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить? Слева в меню есть кнопка "New terminal". Она вызывает консоль. Собственно, в неё и вводить. Но вот как ввести его в нужную позицию я, к сожалению, не знаю. Поэтому потом перейдите на вкладку IP - Firewall, и там перетащите это новое правило выше, чем у Вас правило с действием DROP. Либо можете вручную создать это правило прям в меню IP - Firewall. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
corlovito Posted January 26, 2015 (edited) Я уже указал в чём именно у вас проблема.В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ? Edited January 26, 2015 by corlovito Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 26, 2015 Я уже указал в чём именно у вас проблема.В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ? Да, лоханулся, разумеется имел ввиду dst-address=192.168.88.2: /ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
corlovito Posted January 26, 2015 Но вот как ввести его в нужную позицию я, к сожалению, не знаю. place-before=0 поместит на самый верх, т.е цифрой указываете перед каким номером разместить Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 27, 2015 /ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389 failure: ports can be specified if proto is tcp or udp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
corlovito Posted January 27, 2015 добавьте вот это в выражение protocol=tcp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 27, 2015 не работает рдп. по правилу отработало 3 пакета на 144 байта Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LLatypov Posted January 27, 2015 (edited) 1. Отключи полностью все правила и проверь. 2. Какой внешний ип с которого проверяешь. 3. Комп на который ты radmin прокидываешь в инет выходит? Edited January 27, 2015 by LLatypov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 27, 2015 1. Какие правила отключить и что это покажет? 2. Внешний ип 91,215,77,4 с которого проверяю. Но проверяю тоже из локальной сети с ПК, который выходит в интет через нат. 3. Выходит. Счас тестирую доступ внутри этой удаленной подсети (192,168,88,0/24) через ТимВьюер. Подключаюсь к серверу уд раб столов (192,168,88,2) с пк 192,168,88,100 - всё ок. Из интернета не работает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LLatypov Posted January 27, 2015 тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 27, 2015 тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать да я просто так написал про ТВ. а про локальную сеть написал к тому, что терминальный сервер работает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...