Проброс портов на Mikrotik что-то не работает

0

2

Есть микротик, который держит связь со внешним миром с помощью пппое (белый айпишник), есть через свитч от него комп, который держит связь со внешним миром через ппп (серый айпишник). Оба в одной подсети 192.168.1.0/24.
Потребовалось из другого места попадать на комп. На микротике настроил no-ip (работает, адрес обновляет, на пинги отвечает), в файрволе на микротике в итоге оказались следующие правила (мне нужен ssh, микротик ещё и интернеты раздаёт):

[admin@MikroTik] > /ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; ssh to komp
     chain=dstnat action=netmap to-addresses=192.168.1.3 to-ports=22 protocol=tcp in-interface=pppoe-out1 dst-port=22 

 1   chain=srcnat action=masquerade out-interface=pppoe-out1

На компе, собственно, только так:

iptables -F
iptables -X
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

При попытке подключиться по внешке через SSH получаю таймаут. ЧЯДНТ? Нубодогадка: комп принимает пакеты на один интерфейс, отвечает в другой? P.S. Простите, что пложу нубовопросы, мне больше некуда :(

Ссылка

←	VPS сервер в оффшорной зоне.

Как понять администратора с его -j DROP ?

→

а где правила в микротике для FORWARD ?

buzer
(18.02.14 19:34:40 MSK)

Ответ на: комментарий от buzer 18.02.14 19:34:40 MSK

Упс, а надо что ли? Ни в одной инструкции не сказано. Не подскажешь, как оформить?

kostett ★★★
(18.02.14 19:40:15 MSK) автор топика

Ответ на: комментарий от kostett 18.02.14 19:40:15 MSK

гугл сломали? :)

тык

buzer
(18.02.14 19:57:33 MSK)

Ответ на: комментарий от buzer 18.02.14 19:34:40 MSK

вообще, в /ip firewall mangle пусто

kostett ★★★
(18.02.14 19:57:59 MSK) автор топика
Последнее исправление: kostett 18.02.14 19:58:18 MSK (всего исправлений: 1)

Ответ на: комментарий от buzer 18.02.14 19:57:33 MSK

хы, а мне только статьи такого рода попадаются - http://housecomputer.ru/devices/switch/mikrotik/routing_port/routing_port_80_...
спасибо, ща попробую

kostett ★★★
(18.02.14 19:59:06 MSK) автор топика

Ссылка

Ответ на: комментарий от kostett 18.02.14 19:57:59 MSK

в /ip firewall mangle оперируют маркировкой пакетов, соединений в /ip firewall filter посмотрите

buzer
(18.02.14 20:00:17 MSK)

Ответ на: комментарий от buzer 18.02.14 20:00:17 MSK

кстати, а какое имя интерфейса мне указывать? Просто как-то странно в добавлении правила в фильтр в графу In. Interface писать pppoe-out1...

kostett ★★★
(18.02.14 20:08:18 MSK) автор топика

У меня от так работает без проблем:

[admin@test] > ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=dstnat action=dst-nat to-addresses=10.1.249.13 to-ports=22 protocol=tcp dst-address=10.0.20.13 dst-port=2222 

 ..................

black_13 ★
(18.02.14 20:11:40 MSK)

Ответ на: комментарий от kostett 18.02.14 20:08:18 MSK

Просто как-то странно в добавлении правила в фильтр в графу In. Interface писать pppoe-out1...

Назови по-другому, и не будет так странно.

edigaryev ★★★★★
(18.02.14 20:13:45 MSK)

Ссылка

Ответ на: комментарий от black_13 18.02.14 20:11:40 MSK

есле поглядеть схему прохождения пакетов то ясно видно что после dst-nat попадаем напрмую в filter :)

тык

кстати, а какое имя интерфейса мне указывать? Просто как-то странно в добавлении правила в фильтр в графу In. Interface писать pppoe-out1.

пофигу , как назавешь так и полетит :)

buzer
(18.02.14 20:15:58 MSK)

Ссылка

Блин, точно! Я на кой-то хрен указал in. interface в правиле NAT, дубовая моя голова. Теперь хотя бы не таймаут, а микротик. Что я ещё забыл?

kostett ★★★
(18.02.14 20:16:59 MSK) автор топика

Ссылка

Почему action=netmap, а не action=dst-nat? И что в /ip firewall filter?

edigaryev ★★★★★
(18.02.14 20:17:09 MSK)

Ответ на: комментарий от edigaryev 18.02.14 20:17:09 MSK

netmap - одна бабка сказала, что лучше. Поменял на dst-nat, ситуация не изменилась.

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; ssh to komp
     chain=forward action=accept protocol=tcp dst-address=192.168.1.3 in-interface=!pppoe-out1 dst-port=22

kostett ★★★
(18.02.14 20:21:07 MSK) автор топика
Последнее исправление: kostett 18.02.14 20:22:07 MSK (всего исправлений: 1)

Ответ на: комментарий от kostett 18.02.14 20:21:07 MSK

Показывай таблицу nat и filter

black_13 ★
(18.02.14 20:23:18 MSK)

Ответ на: комментарий от kostett 18.02.14 20:21:07 MSK

уберите ! перед интерфейсом pppoe-out1:)

buzer
(18.02.14 20:24:36 MSK)

Ответ на: комментарий от black_13 18.02.14 20:23:18 MSK

filter чуть выше, nat вот

[admin@MikroTik] > /ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; ssh to komp
     chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=22 protocol=tcp dst-port=22 

 1   chain=srcnat action=masquerade out-interface=pppoe-out1

kostett ★★★
(18.02.14 20:25:35 MSK) автор топика
Последнее исправление: kostett 18.02.14 20:26:26 MSK (всего исправлений: 1)

Ответ на: комментарий от buzer 18.02.14 20:24:36 MSK

ок, но так было в инструкции, ссылку на которую вы мне дали)

kostett ★★★
(18.02.14 20:26:02 MSK) автор топика

Ответ на: комментарий от kostett 18.02.14 20:26:02 MSK

ether2 по ссылке это скорее локальный интерфейс

buzer
(18.02.14 20:28:09 MSK)

Ссылка

Ответ на: комментарий от kostett 18.02.14 20:25:35 MSK

Смотри мой пример, dst-address= тоже надо

black_13 ★
(18.02.14 20:47:59 MSK)

Ответ на: комментарий от black_13 18.02.14 20:47:59 MSK

это есле внешка статика :)

buzer
(18.02.14 20:52:37 MSK)

Ответ на: комментарий от buzer 18.02.14 20:52:37 MSK

а у меня нифига не статика, да.

kostett ★★★
(18.02.14 21:35:28 MSK) автор топика

Ссылка

Например я так пробрасывал порты, все работает. Но для доступа в локалку, имхо, удобнее впн поднять на том же микротике.

0   chain=srcnat action=masquerade to-addresses=0.0.0.0 src-address=192.168.0.0/23 out-interface=pppoe-out1 
......
7   ;;; Port Forward
    chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=17133 protocol=tcp in-interface=pppoe-out1 dst-port=17133

KillTheCat ★★★★★
(19.02.14 03:38:45 MSK)

#маскарад, ether1 - аплинк
chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1

#проброс порта, to-addresses - назначение
chain=dstnat action=dst-nat to-addresses=192.168.1.3 protocol=tcp in-interface=ether1 dst-port=22

ну и смотри на микротике, как у тебя трафик бегает в файрволе. Если на подключение на 22 порт отвечает микротик, значит в nat что-то не так.

Alsvartr ★★★★★
(19.02.14 12:55:06 MSK)

Ссылка

Ответ на: комментарий от KillTheCat 19.02.14 03:38:45 MSK

Чорт, что ж я раньше-то про VPN не знал! Щас по этой статье настроил всё за пять минут и всё работает идеально! Охренеть! Наконец-то на работу ходить не надо :))
Спасибо огромное!

kostett ★★★
(11.03.14 19:49:39 MSK) автор топика

Ссылка

4 марта 2015 г.

проброс 80-го порта

Доброго времени суток! Подскажите пожалуйста как правильно пробросить 80-ый порт на микротике. Суть задачи такова: Есть локальный ПК с веб-сервером на 80-ом порту, нужно показать его в мир. В NAT firewall есть правило masquarade и dst-nat проблема в том что с интернета зайти в браузер на 80-ый порт получается и все ок, а вот с локалки, когда я вбиваю домен (который уже прикручен на мой внешний айпи) у меня подвисает страница и нету никакого ответа.

monte-fm
(04.03.15 17:57:22 MSK)

Ответ на: проброс 80-го порта от monte-fm 04.03.15 17:57:22 MSK

http://wiki.mikrotik.com/wiki/Hairpin_NAT

edigaryev ★★★★★
(04.03.15 19:32:50 MSK)

Ответ на: комментарий от edigaryev 04.03.15 19:32:50 MSK

прочитал - добавил правило маскарада на all ethernet не помогло, как не пускало, так и не пускает

http://clip2net.com/clip/m121149/ff3ff-clip-22kb.png?nocache=1 http://clip2net.com/s/3dEzMFP

прошивка OS 6.18

monte-fm
(05.03.15 16:57:19 MSK)

Ответ на: комментарий от monte-fm 05.03.15 16:57:19 MSK

У меня дома всё работает примерно так:

[admin@MikroTik RB951G-2HnD] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; default configuration
     chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=pppoe-out1

1   chain=dstnat action=netmap to-addresses=192.168.1.34 protocol=tcp in-interface=ether1-gateway dst-port=80

2   chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24

3   chain=dstnat action=dst-nat to-addresses=192.168.1.34 protocol=tcp
     dst-address-type=local dst-port=80

когда буду дома, могу посмотреть, как это через вебморду выглядит

overmind88 ★★★★★
(05.03.15 17:04:17 MSK)
Последнее исправление: overmind88 05.03.15 17:04:44 MSK (всего исправлений: 1)

Ответ на: комментарий от overmind88 05.03.15 17:04:17 MSK

если прошивка 6-ая то думаю веб не отличается, буду благодарен за скрины веб-формы

monte-fm
(05.03.15 17:25:27 MSK)

Ссылка

Ответ на: комментарий от overmind88 05.03.15 17:04:17 MSK

разобрался в твоем посте - поставил, все работает! спасибо огромное! в мануалах на сайте микротика они не указывали что нужно сделать dst-address-type=local вот в этом и была вся проблема с моей стороны

monte-fm
(10.03.15 12:46:04 MSK)

Ответ на: комментарий от monte-fm 10.03.15 12:46:04 MSK

0 chain=srcnat action=masquerade out-interface=Internet-main log=no log-prefix=«»

1 chain=dstnat action=netmap to-addresses=192.168.10.10 protocol=tcp dst-port=37778 log=yes log-prefix=«»

2 chain=srcnat action=masquerade protocol=tcp src-address=192.168.10.0/24 log=no log-prefix=«»

3 chain=dstnat action=dst-nat to-addresses=192.168.10.10 protocol=tcp dst-address-type=local dst-port=37778 log=no log-prefix=«»

ether2 - порт подключения копьютера ether6 - порт WAN Internet-main - PPPoE соединение (динамический адрес 31.23.252.70) В логе видим: dstnat: in:Internet-main out: (none), proto TCP (SYN), 93.178.90.91:49540 -> 31.23.252.70:37778 len 52

Почему не работает?

wwwboy
(22.03.15 02:28:25 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	VPS сервер в оффшорной зоне.

Admin

Как понять администратора с его -j DROP ?

→

проброс 80-го порта

Похожие темы