Jump to content
Калькуляторы

Проброс порта на внутренний сайт MikroTik Сайт внутри сети

Добрый день, многоуважаемые!

Проблема в следующем: имеется MikroTik rb951g-2hnd. Статический ip-адрес, допустим 100.101.102.103. Внутри сети есть сервер 192.168.0.101, на нем крутится сайт, причем на порту 8080 (имя ресурса пускай будет http://www.cp.test.ru). Необходимо сделать проброс порта, чтобы работало из локальной сети (хотя бы по ip, лучше по имени)

Из вне работает исправно. Т.е. в браузере набрать cp.test.ru и все работает.

Сейчас пинг из сети по имени дает внешний ip-адрес (знаю, что можно изменить через Static DNS, но не принципиально).

Я действительно искал по разным форумам данный вопрос, пробовал разнообразные варианты. Но видимо, где-то что-то я делаю не так :((

Помогите, пожалуйста! Буду очень признателен.

 

Ниже приведены настройки (убрал только DHCP-Leases)

# jul/12/2016 09:15:59 by RouterOS 6.34.6

# software id = 92W2-7GMK

#

/interface bridge

add name=br1-LAN

/interface ethernet

set [ find default-name=ether1 ] name=eth1-wan

set [ find default-name=ether5 ] name=eth5-LAN

set [ find default-name=ether2 ] master-port=eth5-LAN name=eth2-LAN

set [ find default-name=ether3 ] master-port=eth5-LAN name=eth3-LAN

set [ find default-name=ether4 ] master-port=eth5-LAN name=eth4-LAN

/ip dhcp-server

add interface=eth1-wan name=Static

/ip firewall layer7-protocol

add name=Video regexp=videoplayback

/ip pool

add name=DHCP-PC ranges=192.168.0.110-192.168.0.210

/ip dhcp-server

add address-pool=DHCP-PC disabled=no interface=br1-LAN name=DHCP-PC

/interface bridge port

add bridge=br1-LAN interface=eth5-LAN

/interface bridge settings

set use-ip-firewall=yes

/ip address

add address=100.101.102.103/25 interface=eth1-wan network=100.101.102.0

add address=192.168.0.1/24 interface=br1-LAN network=192.168.0.0

/ip dhcp-server network

add address=192.168.0.0/24 dns-server=192.168.0.1,192.168.0.101 gateway=\

192.168.0.1 netmask=24

/ip dns

set allow-remote-requests=yes servers=192.168.0.1,192.168.0.101

/ip dns static

add address=127.0.0.1 name=vk.com

add address=127.0.0.1 name=https://vk.com

add address=127.0.0.1 name=https://new.vk.com

add address=127.0.0.1 name=https://www.youtube.com/

add address=127.0.0.1 name=www.youtube.com

add address=127.0.0.1 name=https://rutube.ru

add address=127.0.0.1 name=rutube.ru

add address=127.0.0.1 name=ok.ru

add address=127.0.0.1 name=https://ok.ru

/ip firewall address-list

add address=100.101.102.103 disabled=yes list=Firma

add address=192.168.0.101 disabled=yes list=Firma

add address=166.63.220.125 list=Drop

add address=109.234.156.179 list=Drop

add address=5.45.192.0/18 list=Yandex

add address=192.168.0.64/26 disabled=yes list=Proxy

add address=213.180.193.0/24 list=Yandex

add address=87.250.250.0/24 list=Yandex

/ip firewall filter

add action=drop chain=input disabled=yes dst-address-list=Drop in-interface=\

eth1-wan protocol=tcp

add action=drop chain=input dst-address=100.101.102.103 dst-port=53 \

in-interface=eth1-wan protocol=udp

add action=drop chain=input comment="DROP \EF\F0\E8\E2\E0\F2\ED\FB\F5 \E8\EB\

\E8 \ED\E5\F0\E0\F1\EF\F0\EE\F1\F2\F0\E0\ED\E5\ED\ED\FB\F5" in-interface=\

eth1-wan src-address-list=BOGON

add action=drop chain=forward comment="\CE\F2\EA\EB\FE\F7\E5\ED\FB" disabled=\

yes out-interface=eth1-wan src-address-list=Block

add action=drop chain=input comment="Video Block" dst-address=192.168.0.0/24 \

in-interface=eth1-wan layer7-protocol=Video packet-mark=HTTP-Video

add chain=input protocol=icmp

add chain=input connection-state=new dst-port=80,8291,22 in-interface=br1-LAN \

protocol=tcp src-address=192.168.0.0/24

add chain=input connection-mark=allow_in connection-state=new disabled=yes \

dst-port=80 in-interface=eth1-wan protocol=tcp

add chain=input connection-state=new dst-port=53,123 in-interface=br1-LAN \

protocol=udp src-address=192.168.0.0/24

add chain=forward comment="RDP, HTTP" dst-port=80,8080,3389 in-interface=\

eth1-wan protocol=tcp

add chain=input dst-port=80,8080 protocol=tcp

add chain=input connection-state=established,related

add chain=output connection-state=!invalid

add chain=forward connection-state=established,new in-interface=br1-LAN \

out-interface=eth1-wan src-address=192.168.0.0/24

add chain=forward connection-state=established,related dst-address=\

192.168.0.0/24 in-interface=eth1-wan out-interface=br1-LAN

add action=reject chain=input

add action=reject chain=output

add action=reject chain=forward

/ip firewall mangle

add action=mark-connection chain=prerouting connection-state=new dst-port=\

9999 in-interface=eth1-wan new-connection-mark=allow_in protocol=tcp

add action=mark-packet chain=prerouting comment=http-video layer7-protocol=\

Video new-packet-mark=HTTP-Video passthrough=no

add action=mark-connection chain=prerouting dst-address-list=Yandex \

new-connection-mark=Yandex-mark src-address=192.168.0.0/24

add action=mark-packet chain=prerouting connection-mark=Yandex-mark \

new-packet-mark=Ya passthrough=no

add action=mark-connection chain=prerouting new-connection-mark=\

InternetConnection

add action=mark-packet chain=prerouting connection-mark=InternetConnection \

new-packet-mark=InternetPacket

/ip firewall nat

add action=masquerade chain=srcnat out-interface=eth1-wan

add action=masquerade chain=srcnat dst-address=100.101.102.103 src-address=\

192.168.0.0/24

add action=netmap chain=dstnat comment="\D1\E0\E9\F2 \E8\E7\ED\F3\F2\F0\E8" \

dst-address=100.101.102.103 dst-port=80 in-interface=br1-LAN protocol=tcp \

src-address=192.168.0.0/24 to-addresses=192.168.0.101 to-ports=8080

add action=src-nat chain=srcnat dst-address=100.101.102.103 dst-port=80 \

protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.101 \

to-ports=8080

add action=netmap chain=dstnat comment="\D1\E0\E9\F2 \F1\ED\E0\F0\F3\E6\E8" \

dst-address=100.101.102.103 dst-port=80 in-interface=eth1-wan protocol=tcp \

to-addresses=192.168.0.101 to-ports=8080

add action=netmap chain=dstnat comment=RDP dst-address=100.101.102.103 dst-port=\

31725 in-interface=eth1-wan protocol=tcp to-addresses=192.168.0.101 \

to-ports=3389

add action=redirect chain=dstnat dst-port=9999 in-interface=eth1-wan \

protocol=tcp to-ports=80

/ip route

add check-gateway=ping distance=1 gateway=100.101.102.5

/ip service

set telnet disabled=yes

set ftp disabled=yes

set api disabled=yes

set api-ssl disabled=yes

/system clock

set time-zone-autodetect=no

/system leds

set 0 interface=wlan1

/system routerboard settings

set protected-routerboot=disabled

/tool mac-server

set [ find default=yes ] disabled=yes

add interface=br1-LAN

/tool sniffer

set file-limit=0KiB filter-interface=eth1-wan

Share this post


Link to post
Share on other sites

https://toster.ru/q/59926 - по-моему, тут расписали.

Спасибо за ссылку. Проверил, у меня не хватало вроде только 1-го небольшого правила. Добавил, ничего не изменилось.

По прежнему заходит только с указанием порта 192.168.0.101:8080

Share this post


Link to post
Share on other sites

Тема закрыта. Помогли разобраться на другом ресурсе. Проблема оказалась в следующем: "Hairpin NAT. И используйте dst-nat, и не netmap"

Share this post


Link to post
Share on other sites

Guest
This topic is now closed to further replies.