+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

port forwarding to multiple inside networks....

port forwarding to multiple inside networks...., RouterOS

towerbridgetech

Guest

19.03.2010 12:56:00

Привет, друзья, я новичок в Mikrotik, но знаком с сетями в общем, у меня есть проблема, которую исследование пока не решило. У нас есть 5 маршрутизаторов Mikrotik, настроенных с RIP. Сети: 172.21.0.0/24, 172.21.1.0/24, 172.21.2.0/26, 172.21.2.64/26, 172.21.2.128/26 и так далее. Один из маршрутизаторов настроен как шлюз, с очень простыми настройками файрвола, srcnat masq для NAT. xxx.xxx.198.224/27 от нашего провайдера. xxx.xxx.198.226 на стороне WAN, 172.21.0.1/24 на стороне LAN. Это всё работает отлично… RIP работает нормально, все могут выходить в интернет и так далее. Проблема в том, что я пытаюсь перенаправить порт xxx.xxx.198.226 на 172.21.2.67, используя порт 5900. Команда такая: /ip firewall nat add chain=dstnat dst-address=xxx.xxx.198.226 protocol=tcp dst-port=5900 action=dst-nat to-addresses=172.21.2.67 to-ports=5900. Я не могу достучаться до внутренней машины снаружи. Смотрю на счетчик байтов для этого правила, он увеличивается, но всего лишь немного. Я пробовал разные варианты, но безуспешно. Есть идеи? Есть ли проблемы с перенаправлением портов на другие сети внутри? Пинги и трассировки все выглядят нормально. До машины можно добраться с любой другой сети внутри. Любые идеи будут очень полезны! Заранее спасибо!

heviejob

Guest

02.05.2010 18:28:00

У меня такая же настройка, но мой публичный IP-адрес динамический, поэтому я не могу указать какой-либо IP для dst-address. Могу ли я указать интерфейс шлюза, получающего динамический IP? Как мне это сделать? /ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat to-addresses=192.168.0.109

Chupaka Guest	#3 0 02.05.2010 23:29:00 используйте “in-interface=Public dst-address-type=local”. Это позволит сопоставить весь трафик к адресу маршрутизатора снаружи.

heviejob Guest	#4 0 03.05.2010 19:04:00 Спасибо, все работает отлично, но теперь я не могу получить доступ к роутеру Mikrotik через публичный IP. Только изнутри сети. Что мне нужно добавить?

fewi Guest	#5 0 03.05.2010 19:16:00 Исключите порты, которые необходимо завершить на маршрутизаторе. Например, dst-port=!22, чтобы исключить SSH из NAT.

heviejob Guest	#6 0 03.05.2010 19:40:00 Я исключаю это из правила dst-nat, которое перенаправляет соединение на внутренний сервер?

fewi

Guest

03.05.2010 19:43:00

Да. Что-то вроде этого: /ip firewall nat add chain=dstnat in-interface=Public dst-address-type=local protocol=tcp dst-port=!22 action=dst-nat to-addresses=192.168.0.109 Чтобы перенаправить весь TCP-трафик, кроме SSH, на этот сервер. Недостаток в том, что если вам также нужно перенаправить UDP, ICMP и т.д., вам придется добавить как минимум еще одну строку (без “protocol=tcp dst-port=!22”) позже в цепочке, так как это сейчас соответствует только TCP-трафику. Поэтому перенаправление всего (всех протоколов), кроме SSH, выглядело бы так: /ip firewall nat add chain=dstnat in-interface=Public dst-address-type=local protocol=tcp dst-port=!22 action=dst-nat to-addresses=192.168.0.109 /ip firewall nat add chain=dstnat in-interface=Public dst-address-type=local action=dst-nat to-addresses=192.168.0.109 В качестве альтернативы, вы можете исключить исключенный порт из NAT выше, и просто принять его первым, чтобы он попал в роутер: /ip firewall nat add chain=dstnat in-interface=Public dst-address-type=local protocol=tcp dst-port=22 action=accept /ip firewall nat add chain=dstnat in-interface=Public dst-address-type=local action=dst-nat to-addresses=192.168.0.109

heviejob Guest	#8 0 04.05.2010 07:57:00 Спасибо еще раз. Все работает.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры