evgeny81 Posted January 21, 2019 · Report post Добрый день Форумчане. Вопрос для сведующих простой, думаю 2-3 привила всего)) Есть связка из 2х МТ. Задача первого (hEX) поднять сессию Билайна. Минимальный стандартный фаервол, строчка маскарада, L2TP, статический ip. ВСЁ! Он является шлюзом для следующего тика CCR1009. Этот друг рулит всем и вся. На него завязано несколько таких шлюзов как 1й. Задача - пробросить прозрачно ВСЁ через первого hEXа на CCR. Оставить только winbox с другим портом (пусть 8219) и web (8080) для hEXa. Чтобы всё стандартное сразу пролетало на CCR при обращении по статике. Интуиция подсказывает, что в нате 2 правила , на винбокс и вебку, и за ними еще одно - пропуск на все остальное. Но какие галки и последовательность? Девайсы от меня 60 км, первая попытка была неудачная, кончилась поездкой((( Заранее спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted January 21, 2019 · Report post 29 минут назад, evgeny81 сказал: первая попытка была неудачная, кончилась поездкой((( А кнопку SAFE MODE нажать, не? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 21, 2019 · Report post /ip firewall nat add action=masquerade chain=srcnat add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290 Пробросит все, кроме порта винбокса. Ясно дело все встроенные службы - ip-services нужно отключить. В вашем случае меняете входной интерфейс и адрес для проброса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
evgeny81 Posted January 21, 2019 · Report post И правда, надо было всего лишь щёлку оставить))) спасибо большое! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted January 24, 2019 · Report post К чему плодить столько правил? Winbox и WebFig работают по tcp. Ловить надо только их. В приведенном выше примере остальные протоколы (icmp, gre, ipip, ipsec) не проброшены. Сделать лучше так:/ip firewall nat add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8219 protocol=tcp to-ports=8291 add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8080 protocol=tcp to-ports=80 add action=dst-nat chain=dstnat in-interface=l2tp-out1 to-addresses=192.168.1.254 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...