Jump to content
Калькуляторы

mikrotik. Проброс порта кривыми руками.

/ ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect" disabled=no
/ ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no

 

Не работает и все тут.

ЧЯДНТ?

 

Пробовал указывать in-interface. Пробовал отрубать все правила на фаере и разрешать всё. Не коннектится и все тут.

Share this post


Link to post
Share on other sites

Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила.

Если он сбоку и шлюзом другой, тогда по аналогии: http://www.netlab.linkpc.net/forum/index.php?topic=645.0

В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт.

Share this post


Link to post
Share on other sites

Если микротырк шлюзом по умолчанию - тогда только форвард/редирект и аккепт правила.

так

В кратце: одного НАТ в таком случае мало, нужно два раза транслировать адреса иначе пакет в обратку не дойдёт.

А как же ответ на запрос? Ни каких двух правил не должно быть. Исходящих соединений с сервера 10.0.0.10 нет.

 

Даже счетчики не мотают на микротике. Якобы пакеты даже не приходят.

 

http://ультратонкиеклиенты.рф/in/mikrotik/redirect_ports не работает

http://wiki.m-tel.net/2011/08/01/%D0%BF%D1%80%D0%BE%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%BE%D1%80%D1%82%D0%B0-%D0%B2-mikrotik/ не работает

Edited by lousx

Share this post


Link to post
Share on other sites

Вы как считаете, с каким dst-address пойдет пакет в таблицу forward после того, как в nat вы сделали dstnat ? :)

Намек в 4 посте.

Дополнительно srcnat с адресом внутреннего интерфейса надо делать, если на целевой железке нет маршрута 0.0.0.0/0 через ваш же микротик.

Share this post


Link to post
Share on other sites

А как же ответ на запрос?

Я не пользуюсь мт и рисовать вам правила не стану.

Два варианта потому что вы в вопросе дали не достаточно информации о настройке сети.

Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают.

Share this post


Link to post
Share on other sites

Воспользуйтесь сниффером/монитором и посмотрите на пакеты tcp port 33 с какими адресами и где они летают.

Одно могу сказать точно. На микротик в 33 порт ничего не прилетает, ибо счетчик пакетов понулям.

Либо это правило не корректно:

/ ip firewall filter add chain=forward dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no

Edited by lousx

Share this post


Link to post
Share on other sites

 

chain=forward

 

Почему форвард?

 

Очередность правил Фаервола проверяйте! В WinBox кстати это более наглядно, правила выполняются от первого к последнему. И еще если фаер настраивали через веб интерфейс, то проверьте chain, куда идет трафик на input или customer.

 

Есть хорошая инструкция для новичков по пробросу портов в Nat'е на микротике:

Edited by artsnz

Share this post


Link to post
Share on other sites

Может проблема в том, что у меня нат не маскарадингом, а сурс - дистанишн ?

 

в фаере правло первым ставлю

Edited by lousx

Share this post


Link to post
Share on other sites

Нашел целый раздел по настройке Микротика и НАТа в том числе: http://aitec.md/support.php?id=4

 

Я настроил маскардингом - работает. Еще имейте ввиду, если делаете проброс с подменой порта, то на фаерволе надо открывать уже подмененный порт, а не тот который подменяете, так как подмена портов происходит, до отработки правил фаервола.

 

> сурс - дистанишн ?

это как?! Я даже такого пункта в настройке ната не нашел.

Edited by artsnz

Share this post


Link to post
Share on other sites

Пример исходящего NAT(Masquerading)

Если вы хотите "скрыть" локальную сеть 192.168.0.0/24 одним адресом 10.5.8.109

выданный вам

представителем

Интернет

услуг, вам необходимо

использовать

трансляцию

адреса источника например с по

мощью (masquerad

i

n

g

) средства MikroTik

маршрутизатора. Masquerading будет подменять IP адрес и порт источника пакета

порожденного в сети 192.168.0.0/24 на адрес маршрутизатора 10.5.8.109 когда пакет будет

проходить через него. Для использования masqueradin

g, в конфигурацию межсетевого

экрана необходимо добавить действие 'masquerading':

/ip firewall nat add chain=srcnat action=masquerade out

-

interface=Public

Во всех исходящих соединениях из сети 192.168.0.0/24 адрес источника будет изменен на

адрес маршрути

затора 10.5.8.109 и порт выше 1024. Доступ к локальным адресам из

Интернета

не возможен. Если вы хотите разрешить соединения к серверу в локальной

сети, то вам необходимо использовать трансляцию адреса назначения(DST

-

NAT).

Пример использования DST

-

NAT

Есл

и вы хотите выставить наружу хост с адресом 192.168.0.109 так чтобы он выглядел как

10.5.8.200, то вам необходимо использовать трансляцию адреса назначения. Таким

образом вы можете например выставить наружу сервер находящейся в локальной сети с

реальным IP

адресом. Для начала добавляем реальный IP адрес на внешний интерфейс:

/ip address add address=10.5.8.200/

32

interface

=

Public

Добавляем правило разрешающее доступ к локальному серверу из внешней сети

/ip firewall nat add chain=dstnat dst

-

address=10.5.8.200 action=dst

-

nat to

-

addresses=192.168.0.109

Добавляем правило для трансляции исходящего адреса локального сервера во внешний

адрес маршрутизатора

/ip firewall nat add chain=srcnat src

-

address=192.168.

0.109 action=src

-

nat

to

-

addresses=10.5.8.200

Share this post


Link to post
Share on other sites

Для ната:

/ ip firewall nat add chain=dstnat dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=dst-nat to-addresses=10.0.0.10 to-ports=33 comment="SSH redirect in" disabled=no
/ ip firewall nat add chain=srcnat src-address=10.0.0.10 protocol=tcp src-port=33 action=src-nat to-addresses=91.xxx.xxx.xxx to-ports=33 comment="SSH redirect out" disabled=no

 

Для фаервола:

/ ip firewall filter add chain=input dst-address=91.xxx.xxx.xxx protocol=tcp dst-port=33 action=accept comment="SSH redirect" disabled=no

 

Если что вот еще одна инструкция: http://wiki.mikrotik.com/wiki/NAT_Tutorial

Edited by artsnz

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.