matews Posted July 12, 2016 · Report post Добрый день, многоуважаемые! Проблема в следующем: имеется MikroTik rb951g-2hnd. Статический ip-адрес, допустим 100.101.102.103. Внутри сети есть сервер 192.168.0.101, на нем крутится сайт, причем на порту 8080 (имя ресурса пускай будет http://www.cp.test.ru). Необходимо сделать проброс порта, чтобы работало из локальной сети (хотя бы по ip, лучше по имени) Из вне работает исправно. Т.е. в браузере набрать cp.test.ru и все работает. Сейчас пинг из сети по имени дает внешний ip-адрес (знаю, что можно изменить через Static DNS, но не принципиально). Я действительно искал по разным форумам данный вопрос, пробовал разнообразные варианты. Но видимо, где-то что-то я делаю не так :(( Помогите, пожалуйста! Буду очень признателен. Ниже приведены настройки (убрал только DHCP-Leases) # jul/12/2016 09:15:59 by RouterOS 6.34.6 # software id = 92W2-7GMK # /interface bridge add name=br1-LAN /interface ethernet set [ find default-name=ether1 ] name=eth1-wan set [ find default-name=ether5 ] name=eth5-LAN set [ find default-name=ether2 ] master-port=eth5-LAN name=eth2-LAN set [ find default-name=ether3 ] master-port=eth5-LAN name=eth3-LAN set [ find default-name=ether4 ] master-port=eth5-LAN name=eth4-LAN /ip dhcp-server add interface=eth1-wan name=Static /ip firewall layer7-protocol add name=Video regexp=videoplayback /ip pool add name=DHCP-PC ranges=192.168.0.110-192.168.0.210 /ip dhcp-server add address-pool=DHCP-PC disabled=no interface=br1-LAN name=DHCP-PC /interface bridge port add bridge=br1-LAN interface=eth5-LAN /interface bridge settings set use-ip-firewall=yes /ip address add address=100.101.102.103/25 interface=eth1-wan network=100.101.102.0 add address=192.168.0.1/24 interface=br1-LAN network=192.168.0.0 /ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1,192.168.0.101 gateway=\ 192.168.0.1 netmask=24 /ip dns set allow-remote-requests=yes servers=192.168.0.1,192.168.0.101 /ip dns static add address=127.0.0.1 name=vk.com add address=127.0.0.1 name=https://vk.com add address=127.0.0.1 name=https://new.vk.com add address=127.0.0.1 name=https://www.youtube.com/ add address=127.0.0.1 name=www.youtube.com add address=127.0.0.1 name=https://rutube.ru add address=127.0.0.1 name=rutube.ru add address=127.0.0.1 name=ok.ru add address=127.0.0.1 name=https://ok.ru /ip firewall address-list add address=100.101.102.103 disabled=yes list=Firma add address=192.168.0.101 disabled=yes list=Firma add address=166.63.220.125 list=Drop add address=109.234.156.179 list=Drop add address=5.45.192.0/18 list=Yandex add address=192.168.0.64/26 disabled=yes list=Proxy add address=213.180.193.0/24 list=Yandex add address=87.250.250.0/24 list=Yandex /ip firewall filter add action=drop chain=input disabled=yes dst-address-list=Drop in-interface=\ eth1-wan protocol=tcp add action=drop chain=input dst-address=100.101.102.103 dst-port=53 \ in-interface=eth1-wan protocol=udp add action=drop chain=input comment="DROP \EF\F0\E8\E2\E0\F2\ED\FB\F5 \E8\EB\ \E8 \ED\E5\F0\E0\F1\EF\F0\EE\F1\F2\F0\E0\ED\E5\ED\ED\FB\F5" in-interface=\ eth1-wan src-address-list=BOGON add action=drop chain=forward comment="\CE\F2\EA\EB\FE\F7\E5\ED\FB" disabled=\ yes out-interface=eth1-wan src-address-list=Block add action=drop chain=input comment="Video Block" dst-address=192.168.0.0/24 \ in-interface=eth1-wan layer7-protocol=Video packet-mark=HTTP-Video add chain=input protocol=icmp add chain=input connection-state=new dst-port=80,8291,22 in-interface=br1-LAN \ protocol=tcp src-address=192.168.0.0/24 add chain=input connection-mark=allow_in connection-state=new disabled=yes \ dst-port=80 in-interface=eth1-wan protocol=tcp add chain=input connection-state=new dst-port=53,123 in-interface=br1-LAN \ protocol=udp src-address=192.168.0.0/24 add chain=forward comment="RDP, HTTP" dst-port=80,8080,3389 in-interface=\ eth1-wan protocol=tcp add chain=input dst-port=80,8080 protocol=tcp add chain=input connection-state=established,related add chain=output connection-state=!invalid add chain=forward connection-state=established,new in-interface=br1-LAN \ out-interface=eth1-wan src-address=192.168.0.0/24 add chain=forward connection-state=established,related dst-address=\ 192.168.0.0/24 in-interface=eth1-wan out-interface=br1-LAN add action=reject chain=input add action=reject chain=output add action=reject chain=forward /ip firewall mangle add action=mark-connection chain=prerouting connection-state=new dst-port=\ 9999 in-interface=eth1-wan new-connection-mark=allow_in protocol=tcp add action=mark-packet chain=prerouting comment=http-video layer7-protocol=\ Video new-packet-mark=HTTP-Video passthrough=no add action=mark-connection chain=prerouting dst-address-list=Yandex \ new-connection-mark=Yandex-mark src-address=192.168.0.0/24 add action=mark-packet chain=prerouting connection-mark=Yandex-mark \ new-packet-mark=Ya passthrough=no add action=mark-connection chain=prerouting new-connection-mark=\ InternetConnection add action=mark-packet chain=prerouting connection-mark=InternetConnection \ new-packet-mark=InternetPacket /ip firewall nat add action=masquerade chain=srcnat out-interface=eth1-wan add action=masquerade chain=srcnat dst-address=100.101.102.103 src-address=\ 192.168.0.0/24 add action=netmap chain=dstnat comment="\D1\E0\E9\F2 \E8\E7\ED\F3\F2\F0\E8" \ dst-address=100.101.102.103 dst-port=80 in-interface=br1-LAN protocol=tcp \ src-address=192.168.0.0/24 to-addresses=192.168.0.101 to-ports=8080 add action=src-nat chain=srcnat dst-address=100.101.102.103 dst-port=80 \ protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.101 \ to-ports=8080 add action=netmap chain=dstnat comment="\D1\E0\E9\F2 \F1\ED\E0\F0\F3\E6\E8" \ dst-address=100.101.102.103 dst-port=80 in-interface=eth1-wan protocol=tcp \ to-addresses=192.168.0.101 to-ports=8080 add action=netmap chain=dstnat comment=RDP dst-address=100.101.102.103 dst-port=\ 31725 in-interface=eth1-wan protocol=tcp to-addresses=192.168.0.101 \ to-ports=3389 add action=redirect chain=dstnat dst-port=9999 in-interface=eth1-wan \ protocol=tcp to-ports=80 /ip route add check-gateway=ping distance=1 gateway=100.101.102.5 /ip service set telnet disabled=yes set ftp disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-autodetect=no /system leds set 0 interface=wlan1 /system routerboard settings set protected-routerboot=disabled /tool mac-server set [ find default=yes ] disabled=yes add interface=br1-LAN /tool sniffer set file-limit=0KiB filter-interface=eth1-wan Share this post Link to post Share on other sites More sharing options...
Advvokat Posted July 12, 2016 · Report post https://toster.ru/q/59926 - по-моему, тут расписали. Share this post Link to post Share on other sites More sharing options...
matews Posted July 13, 2016 · Report post https://toster.ru/q/59926 - по-моему, тут расписали. Спасибо за ссылку. Проверил, у меня не хватало вроде только 1-го небольшого правила. Добавил, ничего не изменилось. По прежнему заходит только с указанием порта 192.168.0.101:8080 Share this post Link to post Share on other sites More sharing options...
matews Posted July 13, 2016 · Report post Тема закрыта. Помогли разобраться на другом ресурсе. Проблема оказалась в следующем: "Hairpin NAT. И используйте dst-nat, и не netmap" Share this post Link to post Share on other sites More sharing options...