Перейти к содержимому
Калькуляторы

перенаправление портов в МТ

Просмотр сообщенияSSD (Вчера, 13:01) писал:

Просмотр сообщенияporozut (Вчера, 11:39) писал:

Народ всем доброго времени суток .

 

Собственно есть МТ на нем DHCP + Nat (сеть офиса всего 15машин) ,понадобился FTP сервак поднял я его на SynoLogy DiskStation у него адрес в локалке 192,168,0,16 начинаю пробрасывать порты 21Ftp ,20 авторизация на Ftp , + пулл портов 55530-55665 для передачи данных по резервному каналу протокола, порт21 проброшен и работает Прикрепленный файл для Антона НАГ3.jpg ,а вот остальные порты 20,55530-55665 не открываются . Куда копать не пойму подскажите плз?

Ftp МТ выключил , на адресс FTP сервера разрешил проход всего из внешки .

 

Надо добавить правило с указанием серого адреса, пробрасываемого порта, и протокола.

Цитата

ip firewall filter add chain=forward dst-address= dst-port= protocol=

 

 

 

Это так же сделано - сори что не указал сразу .Даю скрины Ната и правил :FTP1.jpg

Изменено пользователем porozut

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Походу закончились гуру по Микротику =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Походу закончились гуру по Микротику =(

Вместо netmap dst-nat используйте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Походу закончились гуру по Микротику =(

Вместо netmap dst-nat используйте.

 

Перерыл весь инет всё одно и тоже =( Пробовал все вариации как netmap так и dst-nat ,но так по внешнему адресу не пускает на FTP =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall nat

add action=masquerade chain=srcnat

add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290

add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535

add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535

add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290

 

 

Вот так сделайте, перенаправив все порты на адрес FTP сервера, если не заработает, то дело не в микротике.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall nat

add action=masquerade chain=srcnat

add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=1-8290

add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.1.254 to-ports=8292-65535

add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=8292-65535

add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.1.254 to-ports=1-8290

 

 

Вот так сделайте, перенаправив все порты на адрес FTP сервера, если не заработает, то дело не в микротике.

 

123456789.jpg

 

Предложения ? а порт 55536 используется FTP сервером по умолчанию и 100% на FTP влючен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а не че, что правила перенаправления на порты нужно выше маскарада поднять?

 

add action=dst-nat chain=dstnat dst-address=внешний адрес dst-port=3389 protocol=tcp to-addresses=192.168.88.1 to-ports=3389

 

100 пудово рабочее правило

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а не че, что правила перенаправления на порты нужно выше маскарада поднять?

 

add action=dst-nat chain=dstnat dst-address=внешний адрес dst-port=3389 protocol=tcp to-addresses=192.168.88.1 to-ports=3389

 

100 пудово рабочее правило

99999.jpg

 

 

0 эмоций .

 

При этом с локалки зайти нет проблем соответственно глюк со стороны МТ .

Изменено пользователем porozut

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а не че, что правила перенаправления на порты нужно выше маскарада поднять?

 

Это с чего это выше?

 

0 эмоций .

 

При этом с локалки зайти нет проблем соответственно глюк со стороны МТ .

 

Правило под номером 1 нужно удалить, а под номером 0 стереть выходной интерфейс. Если используется маркировка маршрутов роутер и так все знает и 2 аналогичных правила лишние.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а не че, что правила перенаправления на порты нужно выше маскарада поднять?

 

Это с чего это выше?

 

0 эмоций .

 

При этом с локалки зайти нет проблем соответственно глюк со стороны МТ .

 

Правило под номером 1 нужно удалить, а под номером 0 стереть выходной интерфейс. Если используется маркировка маршрутов роутер и так все знает и 2 аналогичных правила лишние.

 

Сделал ,но проблема так и не ушла =( ,21порт открыт и извне он проходит ,но для Ftp одного 21порта мало ,нужно еще 20порт и пулл портов для пассивки (пулл на скрине есть) ,и не один порт из пулла не проходит ?=(

 

33333.png

 

Вот как то так =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дабы не сомневаться в FTP серваке ,поставил на комп Gene6 FTP Server перенаправил маршруты на адресс этого сервака и ничего не поменялось !

Комрады выручайте .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ может геморрой в том что на МТ подняты 2прова ? и только один имеет белый IP и стоит приоритетом ,а второй в резерве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ может геморрой в том что на МТ подняты 2прова ? и только один имеет белый IP и стоит приоритетом ,а второй в резерве.

Можно легко узнать отключив не нужный интерфейс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ может геморрой в том что на МТ подняты 2прова ? и только один имеет белый IP и стоит приоритетом ,а второй в резерве.

Можно легко узнать отключив не нужный интерфейс.

 

 

К сожалению не помогло =( перепробовал все варианты ,перерыл весь гуглиш хрен чего . Сижу и в курить не могу - я создаю правило на проброс портов( не только системных,но и кривых 4000-65535) ,но порт так и остается закрытый =( готов дать доступ и расплатиться водой -соками или кому как по вкусу впал в ступор =(((((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Gene6 FTP

тогда нужно два правила, sourcenat и dst-nat

add chain=srcnat src-address=192.168.0.16 action=src-nat to-addresses=внешнийIP

add chain=dstnat dst-address=внешнийIP action=dst-nat to-addresses=192.168.0.16

и расположить их над маскарадом

 

кстати, в фильтрах фаервола входящие на эти порты случаем не в дропе?

 

если заработает так, то потом можно слепить четыре правила, с указанием конкретных портов 20-21 и 55530-55665 по два правила в src-nat и два правила в dst-nat

Изменено пользователем sheft

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Gene6 FTP

тогда нужно два правила, sourcenat и dst-nat

add chain=srcnat src-address=192.168.0.16 action=src-nat to-addresses=внешнийIP

add chain=dstnat dst-address=внешнийIP action=dst-nat to-addresses=192.168.0.16

и расположить их над маскарадом

 

кстати, в фильтрах фаервола входящие на эти порты случаем не в дропе?

 

если заработает так, то потом можно слепить четыре правила, с указанием конкретных портов 20-21 и 55530-55665 по два правила в src-nat и два правила в dst-nat

 

Разобрался сделал примерно так как вы написали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.