Проброс портров Mikrotik

1

1

Товарищи, помогите, сломал всю голову, понять не могу, ЧЯДНТ)! Есть веб сервер iis, висит на 9000 порту, за микротиком, нужно его высунуть наружу, пишу правила, а nat не отрабатывает... Хелп ми плиз(

Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 192.168.88.1/24 192.168.88.0 ether2-local 1 D 195.54.201.26/29 195.54.201.24 ether1-gateway

Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough

1 chain=input action=accept protocol=icmp

2 chain=input action=accept connection-state=related,new log=no log-prefix=«1»

3 chain=input action=accept connection-state=established,related log=no log-prefix=«2»

4 chain=forward action=accept connection-state=related,new in-interface=ether1-gateway log=no log-prefix=«3»

5 chain=forward action=accept connection-state=established,related routing-mark=«» in-interface=ether1-gateway log=no log-prefix=«4»

6 chain=input action=accept src-address=!192.168.88.0/24 in-interface=ether1-gateway log=no log-prefix=«5»

7 chain=forward action=accept src-address=192.168.88.0/24 in-interface=!ether1-gateway log=no log-prefix=«6»

8 chain=forward action=accept src-address=192.168.88.0/24 out-interface=ether1-gateway log=no log-prefix=«»

9 chain=input action=accept protocol=tcp in-interface=ether1-gateway dst-port=9000 log=no log-prefix=«8»

10 chain=forward action=accept connection-state=established,related protocol=tcp in-interface=ether1-gateway dst-port=9000 log=no log-prefix=«»

Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade src-address-list=local-lan log=no log-prefix=«»

1 chain=dstnat action=dst-nat to-addresses=192.168.88.249 to-ports=9000 protocol=tcp in-interface=ether1-gateway dst-port=9000 log=no log-prefix=«»

Ссылка

←	Openfire Jingle как заставить работать?

hp sa: «будь проклят тот день, когда я сел за баранку этого пылесоса!»

→

правила все? или еще кусок гдето шляется?
если умолчательное правило forward drop - тогда нужно еще и форвард кроме инпута делать. или убирать нафиг умолчательное форвард дроп.

зы. после нескольких раз обновлений и настройки файрвола - плюнул и разве что запретил админкой светить наружу. все остальное - просто нафиг, это у васянов там постоянно ктото их ломает, мне наверное просто везет.

shashilx ★★
(04.11.17 16:47:01 MSK)

Ответ на: комментарий от shashilx 04.11.17 16:47:01 MSK

Это все, больше нет правил, попробовал дела отключить вообще, т.е правил дроп нет, результата не добавило(

motorsoft
(04.11.17 18:30:57 MSK) автор топика

Ответ на: комментарий от shashilx 04.11.17 16:47:01 MSK

*отключить дроп

motorsoft
(04.11.17 18:31:45 MSK) автор топика

Ссылка

Ответ на: комментарий от motorsoft 04.11.17 18:30:57 MSK

https://pastebin.com/CarYXS3T

вот так пробрасываю я, пробуй

shashilx ★★
(04.11.17 20:25:28 MSK)

Ответ на: комментарий от shashilx 04.11.17 20:25:28 MSK

Спасибо! Сейчас попробую

motorsoft
(04.11.17 21:34:43 MSK) автор топика

Ссылка

Ты в курсе что у микротиков по умолчанию действия для цепочек input, output, forward - accept? Из чего следует, что все твои правила, которые тоже accept - безполезны. А по теме - сбрось счётчик у правила трансляции, попробуй зайти на свой сервер и посмотри отрабатывает счётчик или нет. За компанию открой вкладку «Connections», это в IP->Firewall, и посмотри какие соединения проходят через роутер. Ну и ещё можешь посмотреть в Torch, что там открывается, какие у пакетов адреса источников и назначений. По поводу NAT'a - правило правильное, и там негде ошибиться. Только вопрос по поводу правила маскарада - адрес сервера тоже находиться в списке адресов, которые ты маскарадишь?

Toten_Kopf ★
(04.11.17 23:28:32 MSK)

Ссылка

Ответ на: комментарий от shashilx 04.11.17 20:25:28 MSK

В общем не прокатило((, может быть будут еще мысли) - буду весьма благодарен Flags: X - disabled, I - invalid, D - dynamic 0 ;;; ;;; Drop all INVALID chain=input action=drop connection-state=invalid

1 chain=forward action=drop connection-state=invalid

2 ;;; ;;; Allow all ESTABLISHED chain=input action=accept connection-state=established

3 chain=forward action=accept connection-state=established

4 ;;; ;;; Allow all RELATED chain=input action=accept connection-state=related

5 chain=forward action=accept connection-state=related

6 ;;; ;;; Allow ICMP from all chain=input action=accept protocol=icmp

7 ;;; Allow DNS from LAN chain=input action=accept protocol=udp src-address=192.168.88.0/24 dst-port=53

10 ;;; ;;; Allow HTTP from local network chain=input action=accept protocol=tcp src-address=192.168.88.0/24 dst-port=80 log=no log-prefix=«»

11 ;;; ;;; Allow HTTPS from all chain=input action=accept protocol=tcp dst-port=443 log=no log-prefix=«»

12 ;;; ;;; Allow WINBOX from Home chain=input action=accept protocol=tcp src-address=192.168.88.0/24 dst-port=8291

13 ;;; ;;; Allow NTP from LAN chain=input action=accept protocol=udp src-address=192.168.88.0/24 dst-port=123

14 chain=input action=accept connection-state=new protocol=tcp dst-port=9000

15 chain=forward action=accept connection-state=established,related protocol=tcp dst-port=9000 log=no log-prefix=«»

16 ;;; ;;; Allow 9000 from all chain=input action=accept protocol=tcp dst-port=9000

17 ;;; ;;; DROP ALL REQUEST chain=input action=drop

/ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade src-address-list=local-lan log=no log-prefix=«»

1 chain=srcnat action=masquerade out-interface=ether1-gateway

2 ;;; Web server chain=dstnat action=dst-nat to-addresses=192.168.88.249 to-ports=9000 protocol=tcp in-interface=ether1-gateway dst-port=9000 log=no log-prefix=«»

motorsoft
(04.11.17 23:53:10 MSK) автор топика

Ссылка

Предлагаю начать с обновления прошивки и сброса конфигурации. Далее потребуется всего одно правило:

/ip firewall nat
add action=dst-nat chain=dstnat in-interface=ether1-gateway dst-port=9000 protocol=tcp to-addresses=192.168.88.249 to-ports= 9000

ravdinve ★
(05.11.17 04:28:08 MSK)

выше моего - совет дельный, обновить, настроить, не трогать ваще никаких правил (ну разве что закрыть извне вебморду и ссш/телнет) и добавить всего одно правило

shashilx ★★
(05.11.17 20:29:37 MSK)

Ссылка

Ответ на: комментарий от ravdinve 05.11.17 04:28:08 MSK

Спасибо! Все получилось, все заработало, был мой косяк, оказывается у провайдера в личном кабинете есть галочка «Открыть порты локальной сети» или «Открыть порты все», были открыты только локальной сети... Спасибо огромное за помощь!!!

motorsoft
(05.11.17 21:03:13 MSK) автор топика

Ответ на: комментарий от motorsoft 05.11.17 21:03:13 MSK

Спасибо! Все получилось, все заработало, был мой косяк, оказывается у провайдера в личном кабинете есть галочка «Открыть порты локальной сети» или «Открыть порты все», были открыты только локальной сети... Спасибо огромное за помощь!!!

Ринет?

ravdinve ★
(06.11.17 00:02:17 MSK)

Ответ на: комментарий от ravdinve 06.11.17 00:02:17 MSK

Ага, он самый)

motorsoft
(06.11.17 10:23:56 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Openfire Jingle как заставить работать?

Admin

hp sa: «будь проклят тот день, когда я сел за баранку этого пылесоса!»

→

Похожие темы