garald50 Опубликовано 23 января, 2015 · Жалоба Подскажите, почему не работает проброс порта 3389 из интернета в локальную сеть на ПК 192,168,88,2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
corlovito Опубликовано 23 января, 2015 · Жалоба укажите входящий интерфейс в правиле Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 23 января, 2015 · Жалоба укажите входящий интерфейс в правиле Больше ничего не пишите... Вы уверены, что проброс не работает? В фоне я вижу, что правило обработало 288 B. Возможные варианты: 1. Проблема в файрволе на самом ПК. 2. Микротик не является шлюзом для 88.2. 3. Насколько я понял у Вас отсутствует правило, которое разрешает трафик на 88.2 dst-port 3389. Не знаю, что у вас за 5-е и 6-е правила, но скорее всего это ESTABLISHED и RELATED., вот после них и добавьте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 23 января, 2015 · Жалоба В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 24 января, 2015 · Жалоба В chain dstnat, если хотите ограничить трансляцию с одного внешнего адреса, с которого заходите, то пишите его как Src.Adress, а не Dst, а если с любого, то In.interface или только протокол и порт, Action правильный. Ещё один эксперт... Само правило у него работает. Счётчик там растёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zorn Опубликовано 25 января, 2015 (изменено) · Жалоба В фоне я вижу, что правило обработало 288 B. Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ? Хотя хвалю за экстрасенсорные возможности ) Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? Изменено 25 января, 2015 пользователем zorn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LLatypov Опубликовано 25 января, 2015 (изменено) · Жалоба В разделе нат выберите dst-nat в action используйте netmap Изменено 25 января, 2015 пользователем LLatypov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garald50 Опубликовано 26 января, 2015 (изменено) · Жалоба Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? что нужно показать? (какая команда) В разделе нат выберите dst-nat в action используйте netmap сделал netmap в action - не работает. Изменено 26 января, 2015 пользователем garald50 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 26 января, 2015 · Жалоба В фоне я вижу, что правило обработало 288 B. Ох какой самоуверенный. А кто сказал что это счетчики показываемого правила, а не нового ? Хотя хвалю за экстрасенсорные возможности ) Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? ОМГ. Каком ещё инпуте? Третий эксперт. Прям перепись какая-то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 26 января, 2015 · Жалоба Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? что нужно показать? (какая команда) В разделе нат выберите dst-nat в action используйте netmap сделал netmap в action - не работает. Я уже указал в чём именно у вас проблема. В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 И перетащите выше, чем у вас drop. Netmap не делайте, верните как было: dst-nat. И этих экспертов не слушайте. Трое из них не понимают что вообще говорят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LLatypov Опубликовано 26 января, 2015 (изменено) · Жалоба Ну и таблицы НАТ нам так и не показали... А не режится ли траффик на инпуте ? что нужно показать? (какая команда) В разделе нат выберите dst-nat в action используйте netmap сделал netmap в action - не работает. Я уже указал в чём именно у вас проблема. В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 И перетащите выше, чем у вас drop. Netmap не делайте, верните как было: dst-nat. И этих экспертов не слушайте. Трое из них не понимают что вообще говорят. Решение рабочее chain=dstnat action=netmap to-addresses=192.168.50.4 to-ports=8000 protocol=tcp in-interface=ether1 dst-port=8000 log=no log-prefix="" И еще с какой машины проверяешь? Сдается мне с машины которая находится в локальной сети. Если так, то такая схема работать не будет Изменено 26 января, 2015 пользователем LLatypov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 26 января, 2015 · Жалоба Хорошо, я за вами просто понаблюдаю. Тем более, что решение я уже дважды написал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 26 января, 2015 · Жалоба g3fox, хамить не надо, свои телепатические способности с апломбом пожалуйста в зеркало, здесь без них обойдутся. что нужно показать? (какая команда) Есть ли ответ порта по [telnet <ваш внешний ip> 3389] с другого подключения + секции /ip firewall filter и /ip firewall nat из вывода в терминале по export compact. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garald50 Опубликовано 26 января, 2015 · Жалоба /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 26 января, 2015 · Жалоба /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 я прошу прощения. никогда не имел дело с routerOS. то, что вы указали - это команда? в какой консоли ее вводить? Слева в меню есть кнопка "New terminal". Она вызывает консоль. Собственно, в неё и вводить. Но вот как ввести его в нужную позицию я, к сожалению, не знаю. Поэтому потом перейдите на вкладку IP - Firewall, и там перетащите это новое правило выше, чем у Вас правило с действием DROP. Либо можете вручную создать это правило прям в меню IP - Firewall. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
corlovito Опубликовано 26 января, 2015 (изменено) · Жалоба Я уже указал в чём именно у вас проблема.В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ? Изменено 26 января, 2015 пользователем corlovito Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 26 января, 2015 · Жалоба Я уже указал в чём именно у вас проблема.В forward добавляете правило: /ip firewall filter add chain=forward action=accept src-address=192.168.88.2 dst-port=3389 а ну т.е вы разрешаете трафик с хоста внутри на destination port 3389 ну ну эксперт вы наш...и в каком случае в форварде будет такой пакет ? Да, лоханулся, разумеется имел ввиду dst-address=192.168.88.2: /ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
corlovito Опубликовано 26 января, 2015 · Жалоба Но вот как ввести его в нужную позицию я, к сожалению, не знаю. place-before=0 поместит на самый верх, т.е цифрой указываете перед каким номером разместить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garald50 Опубликовано 27 января, 2015 · Жалоба /ip firewall filter add chain=forward action=accept dst-address=192.168.88.2 dst-port=3389 failure: ports can be specified if proto is tcp or udp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
corlovito Опубликовано 27 января, 2015 · Жалоба добавьте вот это в выражение protocol=tcp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garald50 Опубликовано 27 января, 2015 · Жалоба не работает рдп. по правилу отработало 3 пакета на 144 байта Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LLatypov Опубликовано 27 января, 2015 (изменено) · Жалоба 1. Отключи полностью все правила и проверь. 2. Какой внешний ип с которого проверяешь. 3. Комп на который ты radmin прокидываешь в инет выходит? Изменено 27 января, 2015 пользователем LLatypov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garald50 Опубликовано 27 января, 2015 · Жалоба 1. Какие правила отключить и что это покажет? 2. Внешний ип 91,215,77,4 с которого проверяю. Но проверяю тоже из локальной сети с ПК, который выходит в интет через нат. 3. Выходит. Счас тестирую доступ внутри этой удаленной подсети (192,168,88,0/24) через ТимВьюер. Подключаюсь к серверу уд раб столов (192,168,88,2) с пк 192,168,88,100 - всё ок. Из интернета не работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LLatypov Опубликовано 27 января, 2015 · Жалоба тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garald50 Опубликовано 27 января, 2015 · Жалоба тимвювер работает через свои сервера. из локальной сети пробрлс не будет работать да я просто так написал про ТВ. а про локальную сеть написал к тому, что терминальный сервер работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...