garald50 Posted January 23, 2015 · Report post Подскажите, почему не работает проброс порта 3389 из интернета в локальную сеть на ПК 192,168,88,2. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
corlovito Posted January 23, 2015 · Report post укажите входящий интерфейс в правиле Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 23, 2015 · Report post укажите входящий интерфейс в правиле Больше ничего не пишите... Вы уверены, что проброс не работает? В фоне я вижу, что правило обработало 288 B. Возможные варианты: 1. Проблема в файрволе на самом ПК. 2. Микротик не является шлюзом для 88.2. 3. Насколько я понял у Вас отсутствует правило, которое разрешает трафик на 88.2 dst-port 3389. Не знаю, что у вас за 5-е и 6-е правила, но скорее всего это ESTABLISHED и RELATED., вот после них и добавьте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted January 23, 2015 · Report post В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 24, 2015 · Report post В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный. Ещё один эксперт... Само правило у него работает. Счётчик там растёт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zorn Posted January 25, 2015 (edited) · Report post В фоне я вижу, что правило обработало 288 B. Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ? Хотя хвалю за экстрасенсорные возможности ) Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? Edited January 25, 2015 by zorn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LLatypov Posted January 25, 2015 (edited) · Report post В разделе нат выберите dst-nat в action используйте netmap Edited January 25, 2015 by LLatypov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 26, 2015 (edited) · Report post Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? что нужно показать? (какая команда) В разделе нат выберите dst-nat в action используйте netmap сделал netmap в action - не работает. Edited January 26, 2015 by garald50 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 26, 2015 · Report post В фоне я вижу, что правило обработало 288 B. Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ? Хотя хвалю за экстрасенсорные возможности ) Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? ОМГ. Каком ещё инпуте? Третий эксперт. Прям перепись какая-то. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 26, 2015 · Report post Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? что нужно показать? (какая команда) В разделе нат выберите dst-nat в action используйте netmap сделал netmap в action - не работает. Я уже указал в чём именно у вас проблема. В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 И перетащите выше, чем у вас drop. Netmap не делайте, верните как было: dst-nat. И этих экспертов не слушайте. Трое из них не понимают что вообще говорят. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LLatypov Posted January 26, 2015 (edited) · Report post Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? что нужно показать? (какая команда) В разделе нат выберите dst-nat в action используйте netmap сделал netmap в action - не работает. Я уже указал в чём именно у вас проблема. В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 И перетащите выше, чем у вас drop. Netmap не делайте, верните как было: dst-nat. И этих экспертов не слушайте. Трое из них не понимают что вообще говорят. Решение рабочее chain=dstnat action=netmap to-addresses=192.168.50.4 to-ports=8000 protocol=tcp in-interface=ether1 dst-port=8000 log=no log-prefix="" И еще с какой машины проверяешь? Сдается мне с машины которая находится в локальной сети. Если так, то такая схема работать не будет Edited January 26, 2015 by LLatypov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 26, 2015 · Report post Хорошо, я за вами просто понаблюдаю. Тем более, что решение я уже дважды написал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted January 26, 2015 · Report post g3fox, хамить не надо, свои телепатические способности с апломбом пожалуйста в зеркало, здесь без них обойдутся. что нужно показать? (какая команда) Есть ли ответ порта по [telnet <ваш внешний ip> 3389] с другого подключения + секции /ip firewall filter и /ip firewall nat из вывода в терминале по export compact. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 26, 2015 · Report post /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 26, 2015 · Report post /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить? Слева в меню есть кнопка "New terminal". Она вызывает консоль. Собственно, в неё и вводить. Но вот как ввести его в нужную позицию я, к сожалению, не знаю. Поэтому потом перейдите на вкладку IP - Firewall, и там перетащите это новое правило выше, чем у Вас правило с действием DROP. Либо можете вручную создать это правило прям в меню IP - Firewall. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
corlovito Posted January 26, 2015 (edited) · Report post Я уже указал в чём именно у вас проблема.В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ? Edited January 26, 2015 by corlovito Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted January 26, 2015 · Report post Я уже указал в чём именно у вас проблема.В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ? Да, лоханулся, разумеется имел ввиду dst-address=192.168.88.2: /ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
corlovito Posted January 26, 2015 · Report post Но вот как ввести его в нужную позицию я, к сожалению, не знаю. place-before=0 поместит на самый верх, т.е цифрой указываете перед каким номером разместить Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 27, 2015 · Report post /ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389 failure: ports can be specified if proto is tcp or udp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
corlovito Posted January 27, 2015 · Report post добавьте вот это в выражение protocol=tcp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 27, 2015 · Report post не работает рдп. по правилу отработало 3 пакета на 144 байта Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LLatypov Posted January 27, 2015 (edited) · Report post 1. Отключи полностью все правила и проверь. 2. Какой внешний ип с которого проверяешь. 3. Комп на который ты radmin прокидываешь в инет выходит? Edited January 27, 2015 by LLatypov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 27, 2015 · Report post 1. Какие правила отключить и что это покажет? 2. Внешний ип 91,215,77,4 с которого проверяю. Но проверяю тоже из локальной сети с ПК, который выходит в интет через нат. 3. Выходит. Счас тестирую доступ внутри этой удаленной подсети (192,168,88,0/24) через ТимВьюер. Подключаюсь к серверу уд раб столов (192,168,88,2) с пк 192,168,88,100 - всё ок. Из интернета не работает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LLatypov Posted January 27, 2015 · Report post тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garald50 Posted January 27, 2015 · Report post тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать да я просто так написал про ТВ. а про локальную сеть написал к тому, что терминальный сервер работает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...