Jump to content

Микротик. Перенаправление порта

garald50
 Share

Recommended Posts

g3fox

g3fox

Posted
Posted

укажите входящий интерфейс в правиле

 

Больше ничего не пишите...

 

Вы уверены, что проброс не работает? В фоне я вижу, что правило обработало 288 B.

Возможные варианты:

1. Проблема в файрволе на самом ПК.

2. Микротик не является шлюзом для 88.2.

3. Насколько я понял у Вас отсутствует правило, которое разрешает трафик на 88.2 dst-port 3389. Не знаю, что у вас за 5-е и 6-е правила, но скорее всего это ESTABLISHED и RELATED., вот после них и добавьте.

DRiVen

DRiVen

Posted
Posted

В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный.

g3fox

g3fox

Posted
Posted

В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный.

 

Ещё один эксперт...

Само правило у него работает.

Счётчик там растёт.

zorn

zorn

Posted
Posted (edited)
В фоне я вижу, что правило обработало 288 B.

Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ?

Хотя хвалю за экстрасенсорные возможности )

 

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

Edited by zorn
garald50

garald50

Posted
  • Author
Posted (edited)

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

Edited by garald50
g3fox

g3fox

Posted
Posted
В фоне я вижу, что правило обработало 288 B.

Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ?

Хотя хвалю за экстрасенсорные возможности )

 

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

 

ОМГ. Каком ещё инпуте?

Третий эксперт.

Прям перепись какая-то.

g3fox

g3fox

Posted
Posted

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

 

 

Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

И перетащите выше, чем у вас drop.

Netmap не делайте, верните как было: dst-nat.

И этих экспертов не слушайте.

Трое из них не понимают что вообще говорят.

LLatypov

LLatypov

Posted
Posted (edited)

Ну и таблицы НАТ нам так и не показали...

А не режится ли траффик на инпуте ?

что нужно показать? (какая команда)

В разделе нат выберите dst-nat в action используйте netmap

сделал netmap в action - не работает.

 

 

Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

И перетащите выше, чем у вас drop.

Netmap не делайте, верните как было: dst-nat.

И этих экспертов не слушайте.

Трое из них не понимают что вообще говорят.

Решение рабочее

chain=dstnat action=netmap to-addresses=192.168.50.4 to-ports=8000 protocol=tcp in-interface=ether1 dst-port=8000 log=no log-prefix=""

 

И еще с какой машины проверяешь? Сдается мне с машины которая находится в локальной сети. Если так, то такая схема работать не будет

Edited by LLatypov
DRiVen

DRiVen

Posted
Posted

g3fox, хамить не надо, свои телепатические способности с апломбом пожалуйста в зеркало, здесь без них обойдутся.

 

что нужно показать? (какая команда)

Есть ли ответ порта по [telnet <ваш внешний ip> 3389] с другого подключения + секции /ip firewall filter и /ip firewall nat из вывода в терминале по export compact.

garald50

garald50

Posted
  • Author
Posted

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить?

g3fox

g3fox

Posted
Posted

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить?

 

Слева в меню есть кнопка "New terminal". Она вызывает консоль. Собственно, в неё и вводить.

Но вот как ввести его в нужную позицию я, к сожалению, не знаю. Поэтому потом перейдите на вкладку IP - Firewall, и там перетащите это новое правило выше, чем у Вас правило с действием DROP.

Либо можете вручную создать это правило прям в меню IP - Firewall.

corlovito

corlovito

Posted
Posted (edited)
Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

 

а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ?

Edited by corlovito
g3fox

g3fox

Posted
Posted
Я уже указал в чём именно у вас проблема.

В forward добавляете правило:

/ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389

 

а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ?

 

Да, лоханулся, разумеется имел ввиду dst-address=192.168.88.2:

/ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389

corlovito

corlovito

Posted
Posted

Но вот как ввести его в нужную позицию я, к сожалению, не знаю.

 

place-before=0 поместит на самый верх, т.е цифрой указываете перед каким номером разместить

LLatypov

LLatypov

Posted
Posted (edited)

1. Отключи полностью все правила и проверь.

2. Какой внешний ип с которого проверяешь.

3. Комп на который ты radmin прокидываешь в инет выходит?

Edited by LLatypov
garald50

garald50

Posted
  • Author
Posted

1. Какие правила отключить и что это покажет?

2. Внешний ип 91,215,77,4 с которого проверяю. Но проверяю тоже из локальной сети с ПК, который выходит в интет через нат.

3. Выходит. Счас тестирую доступ внутри этой удаленной подсети (192,168,88,0/24) через ТимВьюер. Подключаюсь к серверу уд раб столов (192,168,88,2) с пк 192,168,88,100 - всё ок. Из интернета не работает

garald50

garald50

Posted
  • Author
Posted

тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать

да я просто так написал про ТВ. а про локальную сеть написал к тому, что терминальный сервер работает

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.