FStars Posted November 14, 2016 (edited) Короче перелопатил порядка 50ти топиков про проброс портов в рунете и за его пределами. И один черт не работает. Собсна есть 951ый. Полностью дефолтный конфиг Home AP, изменено только подключение к ISP на PPPoE и настроена вайфайка. Сразу скажу что провайдер не блокирует порты. И сам хост тоже. До этого стояли разные аппараты и там все работало на ура. [admin@MikroTik] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; defconf: masquerade chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix="" 1 chain=dstnat action=dst-nat to-addresses=192.168.88.253 to-ports=7777 protocol=tcp in-interface=pppoe-out1 dst-port=7777 log=no log-prefix="" Собственно конфиг NAT вот такой. При проверке портов любым сервисом счетчики на правиле увеличиваются Однако как на мой нубский взгляд так TORCH показывает странную хрень во время проверки порта. на WANe то что было src становится dst на мастер порте, а src становится адресом хоста. Разве так должно быть? В итоге до хоста пакет не доходит Edited November 14, 2016 by FStars Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 14, 2016 Правило верное и работает. Уверены, что на 88.253 указан правильный адрес шлюза и маска подсети? И покажите конфиг файрвола. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FStars Posted November 14, 2016 Правило верное и работает. Уверены, что на 88.253 указан правильный адрес шлюза и маска подсети? И покажите конфиг файрвола. Ну да, все выдано DHCP. Вот полностью экспорт файрвола. Все дефолтное кроме этого NAT правила: [admin@MikroTik] /ip firewall> export # nov/14/2016 19:50:06 by RouterOS 6.37.1 # software id = M67D-ZJVR # /ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related" \ connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=\ invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface=ether1 add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=established add action=accept chain=input connection-state=related add action=drop chain=input in-interface=pppoe-out1 /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\ pppoe-out1 add action=dst-nat chain=dstnat dst-address-type="" dst-port=7777 in-interface=\ pppoe-out1 protocol=tcp to-addresses=192.168.88.253 to-ports=7777 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 14, 2016 Поскольку весь input запрещен вашим add action=drop chain=input in-interface=pppoe-out1 то для dst-nat нужно разрешить add action=accept chain=input in-interface=pppoe-out1 dst-port=7777 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FStars Posted November 14, 2016 Поскольку весь input запрещен вашим add action=drop chain=input in-interface=pppoe-out1 то для dst-nat нужно разрешить add action=accept chain=input in-interface=pppoe-out1 dst-port=7777 Попробовал. Ситуация не изменилась. Более того я ставил логи на все дропы. И логи оставались пустыми Может можно как то отследить весь жизненный путь определенного пакета? Ну в смысле какие правила к нему применялись и тд Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 14, 2016 Поднимите это правило выше всех запрещающих. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 15, 2016 (edited) FStars, чтобы вам смогли помочь, ответьте пожалуйста три вопроса: 1) адрес 192.168.88.253 на самом микротике прописан или это другое устройство в сети? 2) Если другое устройство, покажите идущую с него трассировку маршрута до 8.8.8.8. 3) Подключаться пробуете на 178.63.151.224:7777 откуда? Из той же локалки 192.168.88.0/24 ? Edited November 15, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
