Jump to content
Калькуляторы

Микротик. Перенаправление порта

Подскажите, почему не работает проброс порта 3389 из интернета в локальную сеть на ПК 192,168,88,2.

post-89534-045015500 1422025869_thumb.png

post-89534-008075800 1422025875_thumb.png

post-89534-086589300 1422026057_thumb.png

Share this post


Link to post
Share on other sites

укажите входящий интерфейс в правиле

 

Больше ничего не пишите...

 

Вы уверены, что проброс не работает? В фоне я вижу, что правило обработало 288 B.

Возможные варианты:

1. Проблема в файрволе на самом ПК.

2. Микротик не является шлюзом для 88.2.

3. Насколько я понял у Вас отсутствует правило, которое разрешает трафик на 88.2 dst-port 3389. Не знаю, что у вас за 5-е и 6-е правила, но скорее всего это ESTABLISHED и RELATED., вот после них и добавьте.

Share this post


Link to post
Share on other sites

В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный.

Share this post


Link to post
Share on other sites

В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный.

 

Ещё один эксперт...

Само правило у него работает.

Счётчик там растёт.

Share this post


Link to post
Share on other sites
В фоне я вижу, что правило обработало 288 B.

Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ?

Хотя хвалю за экстрасенсорные возможности )

 

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

Edited by zorn

Share this post


Link to post
Share on other sites

В разделе нат выберите dst-nat в action используйте netmap

Edited by LLatypov

Share this post


Link to post
Share on other sites

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

Edited by garald50

Share this post


Link to post
Share on other sites
В фоне я вижу, что правило обработало 288 B.

Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ?

Хотя хвалю за экстрасенсорные возможности )

 

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

 

ОМГ. Каком ещё инпуте?

Третий эксперт.

Прям перепись какая-то.

Share this post


Link to post
Share on other sites

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

 

 

Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

И перетащите выше, чем у вас drop.

Netmap не делайте, верните как было: dst-nat.

И этих экспертов не слушайте.

Трое из них не понимают что вообще говорят.

Share this post


Link to post
Share on other sites

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

 

 

Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

И перетащите выше, чем у вас drop.

Netmap не делайте, верните как было: dst-nat.

И этих экспертов не слушайте.

Трое из них не понимают что вообще говорят.

Решение рабочее

chain=dstnat action=netmap to-addresses=192.168.50.4 to-ports=8000 protocol=tcp in-interface=ether1 dst-port=8000 log=no log-prefix=""

 

И еще с какой машины проверяешь? Сдается мне с машины которая находится в локальной сети. Если так, то такая схема работать не будет

Edited by LLatypov

Share this post


Link to post
Share on other sites

Хорошо, я за вами просто понаблюдаю. Тем более, что решение я уже дважды написал.

Share this post


Link to post
Share on other sites

g3fox, хамить не надо, свои телепатические способности с апломбом пожалуйста в зеркало, здесь без них обойдутся.

 

что нужно показать? (какая команда)

Есть ли ответ порта по [telnet <ваш внешний ip> 3389] с другого подключения + секции /ip firewall filter и /ip firewall nat из вывода в терминале по export compact.

Share this post


Link to post
Share on other sites

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить?

Share this post


Link to post
Share on other sites

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить?

 

Слева в меню есть кнопка "New terminal". Она вызывает консоль. Собственно, в неё и вводить.

Но вот как ввести его в нужную позицию я, к сожалению, не знаю. Поэтому потом перейдите на вкладку IP - Firewall, и там перетащите это новое правило выше, чем у Вас правило с действием DROP.

Либо можете вручную создать это правило прям в меню IP - Firewall.

Share this post


Link to post
Share on other sites
Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

 

а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ?

Edited by corlovito

Share this post


Link to post
Share on other sites
Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

 

а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ?

 

Да, лоханулся, разумеется имел ввиду dst-address=192.168.88.2:

/ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389

Share this post


Link to post
Share on other sites

Но вот как ввести его в нужную позицию я, к сожалению, не знаю.

 

place-before=0 поместит на самый верх, т.е цифрой указываете перед каким номером разместить

Share this post


Link to post
Share on other sites

/ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389

failure: ports can be specified if proto is tcp or udp

Share this post


Link to post
Share on other sites

не работает рдп. по правилу отработало 3 пакета на 144 байта

Share this post


Link to post
Share on other sites

1. Отключи полностью все правила и проверь.

2. Какой внешний ип с которого проверяешь.

3. Комп на который ты radmin прокидываешь в инет выходит?

Edited by LLatypov

Share this post


Link to post
Share on other sites

1. Какие правила отключить и что это покажет?

2. Внешний ип 91,215,77,4 с которого проверяю. Но проверяю тоже из локальной сети с ПК, который выходит в интет через нат.

3. Выходит. Счас тестирую доступ внутри этой удаленной подсети (192,168,88,0/24) через ТимВьюер. Подключаюсь к серверу уд раб столов (192,168,88,2) с пк 192,168,88,100 - всё ок. Из интернета не работает

Share this post


Link to post
Share on other sites

тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать

Share this post


Link to post
Share on other sites

тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать

да я просто так написал про ТВ. а про локальную сеть написал к тому, что терминальный сервер работает

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this