+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

netmap на внешний IP

netmap на внешний IP, RouterOS

d00m

Guest

14.12.2015 14:50:00

Привет! Что у меня есть: RB951G-2HnD (6.33.1) x.x.x.x — публичный IP роутера y.y.y.y — публичный IP веб-сервера Что нужно: Все HTTP-запросы на x.x.x.x:8081 должны перенаправляться на y.y.y.y:80 Вот в чём ситуация: Я предполагаю, что нужно использовать портфорвардинг (dst-nat netmap), но он не работает, и я не понимаю почему (кстати, на старом Linksys всё работало нормально). Вот мои правила файервола:
0 ;; DROP с гостевой сети в локальную
chain=forward action=drop src-address=10.0.1.0/24 dst-address=172.16.254.0/24 log=no log-prefix=""

1 ;; DROP с локальной сети в гостевую
chain=forward action=drop src-address=172.16.254.0/24 dst-address=10.0.1.0/24 log=no log-prefix=""

2 ;; Доступ гостей в веб
chain=forward action=accept protocol=tcp src-address=10.0.1.0/24 out-interface=ether1-gateway dst-port=80,443 log=yes log-prefix="GuestNetwork"

3 ;; Гостевая сеть - NTP
chain=forward action=accept protocol=udp src-address=10.0.1.0/24 out-interface=ether1-gateway dst-port=123 log=no log-prefix=""

4 ;; Блокировка ICMP в гостевой сети
chain=input action=drop protocol=icmp in-interface=guest-bridge log=no log-prefix=""

5 ;; Блокировка внешнего трафика гостевой сети
chain=forward action=drop src-address=10.0.1.0/24 out-interface=ether1-gateway log=no log-prefix=""

6 ;; Стандартная конфигурация
chain=input action=accept protocol=icmp log=no log-prefix=""

7 ;; Стандартная конфигурация
chain=input action=accept connection-state=established,related log=no log-prefix=""

8 ;; Стандартная конфигурация
chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

9 ;; Стандартная конфигурация
chain=forward action=accept connection-state=established,related log=no log-prefix=""

10 ;; Стандартная конфигурация
chain=forward action=drop connection-state=invalid log=no log-prefix=""

11 ;; Стандартная конфигурация
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway log=no log-prefix=""

NAT:
0 ;; Локальная сеть
chain=srcnat action=masquerade src-address=172.16.254.0/24 out-interface=ether1-gateway log=no log-prefix=""

1 ;; Гостевая сеть
chain=srcnat action=masquerade src-address=10.0.1.0/24 out-interface=ether1-gateway log=no log-prefix=""

2 ;; Портфорвардинг веб-сервера
chain=dstnat action=netmap to-addresses=y.y.y.y to-ports=80 protocol=tcp dst-address=x.x.x.x in-interface=ether1-gateway dst-port=8081 log=no log-prefix=""

Как видишь, у меня есть это правило, но оно не работает =(
;; Портфорвардинг веб-сервера chain=dstnat action=netmap to-addresses=y.y.y.y to-ports=80 protocol=tcp dst-address=x.x.x.x in-interface=ether1-gateway dst-port=8081 log=no log-prefix=""

Есть идеи?

satman1w Guest	#2 0 29.12.2015 15:11:00 add action=dst-nat chain=dstnat comment=WEB disabled=no dst-port=8081 protocol=tcp to-addresses="your ip" to-ports=80

ZeroByte

Guest

29.12.2015 15:21:00

Насколько я знаю, netmap нельзя использовать с портами... netmap — это однонаправленное безсостояние NAT-действие, предназначенное для того, чтобы IP x.x.x.x выглядел как y.y.y.y с другой стороны роутера. Тебе стоит поменять действие на dst-nat.

d00m

Guest

29.12.2015 16:07:00

satman1w, ZeroByte, спасибо за интерес к этой теме. По поводу dstnat вместо netmap: конечно, я уже пробовал dstnat — но, увы, безуспешно. Я немного изменил свою конфигурацию, и теперь правило выглядит так:
0 ;;; WEB
chain=dstnat action=dst-nat to-addresses=y.y.y.y to-ports=80 protocol=tcp dst-address=x.x.x.x in-interface=ether1-gateway dst-port=80 log=no log-prefix=“”

Как видите, это простое правило 1:1 NAT, счетчики пакетов идут, но оно все равно не работает. Кстати, я также поменял стандартный порт веб-интерфейса Mikrotik с 80 на 8080, чтобы избежать конфликта с моим правилом.

satman1w

Guest

30.12.2015 09:01:00

Когда я отвечаю с помощью команды ROS, из-за сложности я не пишу всё по памяти. Поэтому я сделал это на своём роутере и проверил перед публикацией. Если у вас не работает, значит, есть какая-то другая проблема. Попробуйте выложить полную конфигурацию, может, вместе разберёмся, в чём дело. С уважением.

blajah

Guest

30.12.2015 10:13:00

Привет. Чтобы получить хорошие ответы, пожалуйста, предоставь: простой рисунок твоей топологии — ничего сложного, подойдет даже Paint. Ты можешь открыть веб-сервер, введя y.y.y.y прямо в браузере? Веб-сервер уже настроен через NAT?

ZeroByte Guest	#7 0 30.12.2015 14:40:00 x.x.x.x = внешний IP-адрес Mikrotik y.y.y.y = публичный IP-адрес веб-сервера… Как ваш роутер вообще узнает, что пакеты для y.y.y.y должны идти к нему? Вы добавили IP-адрес y.y.y.y на WAN-интерфейс? (если нет — сделайте это)

Sob

Guest

30.12.2015 15:46:00

Если x.x.x.x и y.y.y.y — это полностью разные публичные адреса (например, два разных провайдера или, по крайней мере, независимые подсети), то нужна дополнительная srcnat-правила, которая маскирует источник под x.x.x.x. Иначе y.y.y.y будет пытаться ответить клиенту напрямую, и это не сработает. Поискать в вики по запросу «hairpin NAT».

ZeroByte Guest	#9 0 30.12.2015 16:22:00 @doom: В твоём исходном сообщении говорилось, что xxxx и yyyy — оба публичные IP-адреса. Такая настройка означает, что нужно брать пакеты с адресом назначения Mikrotik (x.x.x.x) и перенаправлять их на публичный IP сервера (y.y.y.y). Если сервер находится за Mikrotik’ом (с приватным IP), то заменяешь y.y.y.y на приватный IP сервера, а x.x.x.x меняешь на y.y.y.y. Если сервер вообще где-то в интернете, тогда надо использовать hairpin NAT на внешнем интерфейсе... Цепочка srcnat в таблице nat должна быть очень простой. В твоей изначальной конфигурации фаервола видно две правила srcnat, которые требуют out-interface = ether1-gateway И внутренний IP в качестве источника. Удали одно из этих правил, а в оставшемся убери условие src-address. Если пакет идёт через ether1-gateway — просто маскируй его. И всё. Если ты пытаешься прокинуть соединения к веб-серверу через публичный IP Mikrotik’а, то требование src-address=172.16.x.x — вот почему это не работало. И, наконец, проверь, чтобы цепочка forward не сбрасывала hairpin-пакеты, и всё будет работать.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры