awgur Posted September 5, 2015 Добрый день! Я пробрасываю входящий трафик с опубликованного порта 5922 на 22 порт хоста 192.168.255.2. На Cisco работает. ! interface Dialer0 ip access-group FW_in in ! ip nat inside source static tcp 192.168.255.2 22 interface Dialer0 5922 ip nat inside source list NAT interface Dialer0 overload ip route 0.0.0.0 0.0.0.0 Dialer0 ! ip access-list extended FW_in permit tcp any any eq 5922 ! На RouterOS не работает. /ip firewall filter add chain=forward dst-port=5922 in-interface=ether1 protocol=tcp /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=dst-nat chain=dstnat dst-port=5922 in-interface=ether1 \ protocol=tcp to-addresses=192.168.255.2 to-ports=22 Если отключить правило дропа, в конце цепочки forward, то начинает работает. Т.е. фильтр не ловит обращение по TCP на 5922, а пропускает его дальше. Если порты везде одинаковые, то всё отлично работает. /ip firewall filter add chain=forward dst-port=22 in-interface=ether1 protocol=tcp /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1 \ protocol=tcp to-addresses=192.168.255.2 to-ports=22 Вопрос: Что я делаю те так? Или что-то с микротиком? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted September 6, 2015 Если отключить правило дропа, в конце цепочки forward, то начинает работает. Все правила файрвола покажите. /ip firewall filter add chain=input connection-state=established,related add chain=forward connection-state=established,related add action=drop chain=input connection-state=invalid,new add action=drop chain=forward connection-state=invalid /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=netmap chain=dstnat dst-port=5922 in-interface=ether1 protocol=tcp to-addresses=192.168.255.2 to-ports=22 Работает без проблем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
awgur Posted September 7, 2015 Если отключить правило дропа, в конце цепочки forward, то начинает работает. Все правила файрвола покажите. /ip firewall filter add chain=input connection-state=established,related add chain=forward connection-state=established,related add action=drop chain=input connection-state=invalid,new add action=drop chain=forward connection-state=invalid /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=netmap chain=dstnat dst-port=5922 in-interface=ether1 protocol=tcp to-addresses=192.168.255.2 to-ports=22 Работает без проблем. Конечно работает, ведь вы дропаете только соединения со статусом invalid, а всё остальное пропускаете. Я же говорю про случай, когда всё запрещено, к проходению в сеть. Что вам даст если я покажу "Все правила файрвола"? Всё - это очень много. Для проблемы существенны именно те, которые я показал. Для примера. Вот так не работает. /ip firewall filter ... add action=fasttrack-connection chain=forward connection-state=established,related add chain=forward connection-state=established,related add chain=forward src-address=192.168.255.0/24 add chain=forward dst-port=5922 in-interface=ether1 protocol=tcp add action=drop chain=forward connection-state=invalid add action=drop chain=forward in-interface=ether1 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=dst-nat chain=dstnat dst-port=5922 in-interface=ether1 protocol=tcp to-addresses=192.168.255.2 to-ports=22 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted September 7, 2015 а всё остальное пропускаете. А что за forward может быть "остальным" при NAT? Приведенными правилами запрещен весь входящий трафик, который не подпадает под разрешенные в правилах трансляции и файрвола соединения. add chain=forward src-address=192.168.255.0/24 Смысл этого правила в рамках проблемы? Или это метод научного тыка? Вот из-за подобных вывертов и было предложено показать все правила. Логику обработки трафика в МТ уже почитайте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
awgur Posted September 7, 2015 1. Под "остальным" я понимаю другие пакеты, не только со статусом инвалид. Для чего их пропускать на НАТ? Пусть фильтр делает то для чего он нужен - фильтрует. 2. В том-то и дело, что в рамках проблемы и так всё было в достаточном количестве указано. add chain=forward src-address=192.168.255.0/24 только для вас написал. 3. Для чего разводить палемику если вы решения проблемы не знаете? Проблема решена. DST-NAT отрабатывает ещё в PREROUTING => когда пакет достигает фильтра порт в нём уже изменён. В моём случае 5922 уже изменён на 22. http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
