evgeny81 Опубликовано 21 января, 2019 · Жалоба Добрый день Форумчане. Вопрос для сведующих простой, думаю 2-3 привила всего)) Есть связка из 2х МТ. Задача первого (hEX) поднять сессию Билайна. Минимальный стандартный фаервол, строчка маскарада, L2TP, статический ip. ВСЁ! Он является шлюзом для следующего тика CCR1009. Этот друг рулит всем и вся. На него завязано несколько таких шлюзов как 1й. Задача - пробросить прозрачно ВСЁ через первого hEXа на CCR. Оставить только winbox с другим портом (пусть 8219) и web (8080) для hEXa. Чтобы всё стандартное сразу пролетало на CCR при обращении по статике. Интуиция подсказывает, что в нате 2 правила , на винбокс и вебку, и за ними еще одно - пропуск на все остальное. Но какие галки и последовательность? Девайсы от меня 60 км, первая попытка была неудачная, кончилась поездкой((( Заранее спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 21 января, 2019 · Жалоба 29 минут назад, evgeny81 сказал: первая попытка была неудачная, кончилась поездкой((( А кнопку SAFE MODE нажать, не? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 21 января, 2019 · Жалоба /ip firewall nat add action=masquerade chain=srcnat add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535 add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290 Пробросит все, кроме порта винбокса. Ясно дело все встроенные службы - ip-services нужно отключить. В вашем случае меняете входной интерфейс и адрес для проброса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evgeny81 Опубликовано 21 января, 2019 · Жалоба И правда, надо было всего лишь щёлку оставить))) спасибо большое! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 24 января, 2019 · Жалоба К чему плодить столько правил? Winbox и WebFig работают по tcp. Ловить надо только их. В приведенном выше примере остальные протоколы (icmp, gre, ipip, ipsec) не проброшены. Сделать лучше так:/ip firewall nat add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8219 protocol=tcp to-ports=8291 add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8080 protocol=tcp to-ports=80 add action=dst-nat chain=dstnat in-interface=l2tp-out1 to-addresses=192.168.1.254 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...