Jump to content

Проброс белого айпи через RB2011

t0rik
 Share

Recommended Posts

t0rik

t0rik

Posted
Posted

Доброго дня всем.

 

Есть RB2011 с белым айпи от провайдера. Есть вебсервер внутри локальной сети, проброшен порт 80. Все работает. Но, надо за микротиком разместить еще 1 вебсервер с белым айпи. Провайдер выдал (в той же подсети) еще 1 адрес. Но каким образом пробросить этот айпи на другой вебсервер ?

ilili

ilili

Posted
Posted (edited)

Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить.

Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой

Edited by ilili
t0rik

t0rik

Posted
  • Author
Posted (edited)

Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить.

Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой

 

Выдали /27. Сделал как вы сказали dst-nat/src-nat но что-то не работает (

 

P.S. А первый (ранее выданый айпи) маска тоже /27

Edited by t0rik
mrrc

mrrc

Posted
Posted

Если имеется возможность, разумнее было бы объединить на микротике в отдельный бридж ваш uplink с портом, куда подключен вебсервер и на самом сервере уже настроить новую внешнюю адресацию, нет?

nkusnetsov

nkusnetsov

Posted
Posted

mrrc, с одной стороны это проще, а вот с другой есть неочевидный минус: придется на всех серверах с белыми IP внимательно настраивать фаервол для защиты со стороны Интернета.

При пробросе портов же, используется фаервол микротика, и список доступных извне портов ограничен пробросом.

mrrc

mrrc

Posted
Posted

nkusnetsov, ничего не поделать, придется озадачиваться защитой, в особенности если сервера под Windows.

Иначе теряется особый смысл вынесение работы определенных сервисов на отдельный реальный IP.

Индивидуально тут все, конечно.

viper063

viper063

Posted
Posted

Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее.

А можно по подробные что нужно сделать, на ван порт повесил адрес, дальше куда?

nkusnetsov

nkusnetsov

Posted
Posted (edited)

viper063, дальше проброс с учетом того, на какой из внешних белых IP приходит запрос. По схеме WanIP1:80 -> LanIP1:80 (серв1) , WanIP2:80 -> LanIP2:80 (серв2).

Выглядит как-то так:

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp to-addresses=10.0.0.101 to-ports=80
add action=dst-nat chain=dstnat dst-address=1.1.1.2 dst-port=80 protocol=tcp to-addresses=10.0.0.102 to-ports=80

"dst-address" - это ваши белые IP на внешнем интерфейсе "1.1.1.1" и "2.2.2.2" взяты для примера

"to-address" - это IP-адреса серваков во внутренней сети куда пробрасываем.

Edited by nkusnetsov
t0rik

t0rik

Posted
  • Author
Posted

Спасибо всем, все получилось через dst-nat/src-nat. У провайдера неправильно была настроена маршрутизация, поэтому выданый дополнительный белеый IP просто не работал.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.