Не могу перевести текст "srcnat".

Я наконец вернулся к этому и не могу заставить это работать. Похоже, что правило: /ip firewall nat add chain=dstnat action=dst-nat dst-address=144.92.249.226 to-addresses=192.168.0.2 in-interface=wlan1 получает трафик, но ничего не возвращается на внутренний IP-адрес браузера (запрос истекает по времени). Похоже, нужно добавить какое-то правило src-nat, чтобы направить возвращающий трафик.

Я точно знаю, что вы пытаетесь достичь. Посты до того, как я написал свой, решали другую проблему. Никто не знает, как это называется, поэтому его очень трудно найти на форумах, хотя об этом спрашивают раз в месяц. Я буду называть это "NAT НА ПАЛКЕ", потому что, думаю, так это называет Cisco. Подумайте об этом. Ваш сервер — 192.168.1.100. Ваш маршрутизатор — 192.168.1.1, и у него также есть публичный IP-адрес на WAN-интерфейсе. Вы — 192.168.1.200. Если вы примените dst-nat PU.BL.IC.IP → 192.168.1.100, это направит трафик к вашему серверу. Первый шаг выполнен. Теперь сервер получает запрос и видит, что адрес ответа — 192.168.1.200. Ах да, сервер отправил трафик обратно НАПРЯМУЮ вашему браузеру (не через маршрутизатор), потому что вы находитесь в одной подсети. Но ваша рабочая станция говорит: "Я ничего не запрашивал у 192.168.1.100", поэтому отклоняет его. Вам нужно также добавить правило src-nat, которое маскирует трафик, поступающий на ваш приватный интерфейс, предназначенный для порта 80. Маскируйте этот трафик с помощью IP-адреса вашего маршрутизатора. Теперь трафик, идущий к серверу, будет иметь IP-адрес маршрутизатора в качестве источника, и трафик вернется к маршрутизатору. Теперь маршрутизатор может использовать таблицу соединений и вернуть его на исходную рабочую станцию. Единственное ограничение в том, что каждый запрос к этому веб-серверу будет выглядеть так, будто он исходит от маршрутизатора. Если вы полагаетесь на внутренний DNS и это лишь резервный вариант, то это, вероятно, приемлемо. PSSSST - измените порт службы www на Mikrotik с 80 на 800 или 8080 или что-то подобное.

OK, простая настройка теста. Один частный клиент 192.168.1.254, работающий на IIS на Ether2 MT в "Public" сети на Ether1 БЕЗ правил фильтрации. Правила NAT: 0   цепочка=dstnat действие=dst-nat адреса=192.168.1.254 порты=80 протокол=tcp адрес-назначения=10.4.30.30 интерфейс-входа=ether2 порт-назначения=80 1   цепочка=srcnat действие=маскарад интерфейс-выхода=ether1 2   цепочка=dstnat действие=dst-nat адреса=192.168.1.254 порты=80 протокол=tcp адрес-назначения=10.4.30.30 интерфейс-входа=ether1 порт-назначения=80. Публичный доступ работает. Приватный доступ в мир работает. Приватный доступ к 10.4.30.30 истекает по времени. Правило номер 0 показывает, что обрабатываются пакеты. Если я отключаю правило номер 0, то получаю веб-страницу MT. Это слишком раздражает!

Я бы настроил это и дал тебе точные конфигурации, но я не в такой ситуации, чтобы иметь роутеры для разработки, которые можно так сильно менять. Извини. Сам.

У меня несколько исходящих NAT, потому что я сопоставил весь диапазон 144.92.249.225/255.25.255.240 с ether1. Первый, который должен сработать: chain=srcnat action=src-nat to-addresses=144.92.249.226 src-address=10.4.2.4. Первое правило: chain=dstnat action=dst-nat to-addresses=10.4.2.4 to-ports=80 dst-address=144.92.249.226 in-interface=ether2 dst-port=80 protocol=tcp. Похоже, я упустил какой-то базовый концепт. Есть ли хорошие рекомендации по чтению о IP-цепочках и том, как они работают?

Хорошо, думаю, я понял. Правило, которое у тебя указано, означает, что все мои машины будут натиться на 144.92.249.226, что мне не нужно. Мне нужны почтовые серверы, чтобы натились на конкретные IP для обратного поиска и тому подобное. Думаю, это будет работать хотя бы для одного сервера, но мне нужно, чтобы это работало и для других серверов, а я бы очень хотел, чтобы каждый отправлялся с разного внешнего IP: 0   chain=dstnat action=dst-nat to-addresses=10.4.2.4 to-ports=80 dst-address=144.92.249.226 in-interface=ether2 dst-port=80 protocol=tcp 1   chain=srcnat action=src-nat to-addresses=144.92.249.226 dst-address=10.4.0.0/16 Но почему бы это не сработало, чтобы каждый сервер выходил с разного IP? 1  chain=srcnat action=src-nat to-addresses=144.92.249.226 src-address=10.4.2.4 Запутался!

Не работает. Вот первые 2 правила из команды печати в ip/firewall/nat и последнее правило для NAT для всего остального. 0 chain=srcnat action=src-nat to-addresses=144.92.249.226 dst-address=144.92.249.226 1 chain=dstnat action=dst-nat to-addresses=10.4.2.4 to-ports=80 dst-address=144.92.249.226 in-interface=ether2 dst-port=80 protocol=tcp 43 ;;; NAT для всего исходящего трафика chain=srcnat action=src-nat to-addresses=144.92.249.238 dst-address=0.0.0.0/0 out-interface=ether1 Никакой трафик не попадает под правило 1, но трафик попадает под правило 2, когда вы запрашиваете веб-страницу. Браузер показывает таймаут.

0 chain=srcnat action=src-nat to-addresses=144.92.249.226 dst-address=144.92.249.226 То, что указано выше, неверно… зачем делать src-nat для одного и того же адреса? Мне кажется, что что-то упускается из виду. Пожалуйста, опубликуйте следующее: /ip route print /ip firewall nat export Я думаю, то, что вы хотите, это nat-on-a-stick… если вы и ваш сервер на одной подсети, вам нужно делать srcnat и dstnat для этого трафика, и когда сервер его увидит, он увидит IP роутера, а не ваш. Это может быть приемлемо или нет; вас беспокоит, что ваш веб-сервер видит всех ваших внутренних пользователей как IP роутера? Лучшее решение — использовать имя хоста, которое разрешается в внутренний IP внутри сети и в внешний IP снаружи. Сам.

Я думаю, что автор поста спрашивал о трафике внутри своего файрвола, направляемом на сервер, находящийся за его файрволом... а не о внешнем трафике.