подскажите правило

[xxxupg]

есть задача: имеем 2 внешних адреса, и чтобы "не вестить" один из них, сделать перенаправление трафика с одного адреса (порт в порт) на другой

 

и чтото не получается, подскажите верное правило?

[LostSoul]

ничего непонятно.

распишите как то более подробно схему , типа внешний мир , локалка , роутер.   сколько там провайдеров, из каких подсетей адреса и на каких они устройствах или интерфейсах

а то так гадать неделю можно

 

[xxxupg]

есть адрес на микротике (внешний) 1.1.1.1, нужно перенаправление к примеру при заходе на порт 80 на адрес 2.2.2.2:80 (адрес тоже внешний)

[jffulcrum]

chain - dst-nat, action - redirect

[xxxupg]

@jffulcrum именно redirect не netmap?

[LostSoul]

7 часов назад, xxxupg сказал:

порт 80 на адрес 2.2.2.2:80 (адрес тоже внешний)

и вытянивали из него по крупице, по чайной ложке долгие пол года.....

 

адрес 2.2.2.2 это что? тот же самый микротик микротик? другой интерфейс или тот же самый?  другой микротик? другой не микротик?   или может быть 2.2.2.2  это какой-то  чужой адрес во внешнем мире?

 

 

[xxxupg]

есть адрес в интернете N, на нужно чтобы заходя по адреску тоже в сети Интернет Y по порту 80, я попадал с y.y.y.y:80 на n.n.n.n:80 (все адреса публичные)

 

наверное сделал, не знаю верно ли 

 

/ip firewall nat add action=netmap chain=dstnat dst-address=y.y.y.y dst-port=80 protocol=tcp to-addresses=n.n.n.n to-ports=80

[LostSoul]

32 минуты назад, xxxupg сказал:

есть адрес в интернете N, на нужно чтобы заходя по адреску тоже в сети Интернет Y по порту 80, я попадал с y.y.y.y:80 на n.n.n.n:80 (все адреса публичные) 

 

наверное сделал, не знаю верно ли 

 

/ip firewall nat add action=netmap chain=dstnat dst-address=y.y.y.y dst-port=80 protocol=tcp to-addresses=n.n.n.n to-ports=80

теперь перевожу на русский как я понял, с трудом собрав по крупицам 3 ваших описания.

 

В сети Интернет установлен некий web-сервер с IP ,  который вы не хотите раскрывать посетителям.

( предполагаю, чтоб уберечь его от DDOS и.т.п. )

 

Для этой цели вы хотите использовать Mikrotik , настроив его в качестве TCP-прокси , чтоб устанавливая соединение с IP вашего микротика,  соединения пробрасывались на тот сервер с секретным IP.

 

На уровне tcp это делается в 2 правила , не в одно.

Допустим 5.5.5.5 адрес секретного сервера в Интернет , 3.3.3.3 адрес нашего Микротик

 

/ip firewall nat add chain=dstnat dst-address=3.3.3.3 protocol=tcp dst-port=80 action=dst-nat to-addresses=5.5.5.5


ip firewall nat add chain=srcnat dst-address=5.5.5.5 protocol=tcp dst-port=80 action=src-nat to-addresses=3.3.3.3

 

первое правило перепишет адрес назначения ,  второе правило перепишет исходный адрес на адрес нашего микротика ,  иначе трафик не вернется обратно , а "секретный сервер" направит ответы на запросы сразу оригинальному клиенту напрямую.

 

второе правило можно опустить, только если "секретный сервер" гарантированно расположен так, чтоб обратный трафик от него к клиенту не минует нашего микротика ( например он у нас в локальной сети )

 

Относительно же задачи в целом,  хочу обратить ваше внимание , что нормальный прокси от DDOS делается не на TCP , а на application уровне  .

Так же , подозреваю что вам просто нужно открыть для себя бесплатный сервис от cloudfire

 

 

[xxxupg]

@LostSoul видимо в очередной раз большое спасибо!

[Saab95]

Если это чисто веб для веб, а не для скачивания файлов, то целесообразно перед вторым сервером поставить микротик, а связь между микротиками осуществлять через L2TP туннель. В этом случае в плюсах будет меньший МТУ, что благотворно скажется на отсутствии глюков у клиентов, т.к. некоторые провайдеры иногда режут МТУ 1500 или чуть меньше по непонятным причинам.