Как настроить проброс портов на роутере mikrotik

To redirect specific requests to a specific address on the internal network, use dst-nat, follow the steps below:

Once connected to the machine, select WebFig;
Go to IP, Firewall section;
Open the NAT tab;
Create a new record by pressing Add New;
A new window will open and fill in the following fields:
Chain, choose dstnat because the IP address of the recipient will be changed;
Select a protocol such as TCP;
Dst. Port, specify the port that will be forwarded, for example port 80;
In. In the Interface List, indicate the incoming interface to which the specific rule will apply, in this case it is WAN;
Go to the bottom of the page, to the Action section;
Action, select dst-nat;
Enter the desired address to which you want to forward the data;
Enter the required port.

This established rule can be translated as follows: When an incoming connection with the TCP protocol requests port 80, translate the recipient’s address and redirect it to the local address 192.168.1.1 and port 80.

Источник

Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе eve-ng. Думаю, вы это все знаете, так что давайте начнем.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

]

Содержание

Перенаправление портов Mikrotik
Проброс 80 порта на mikrotik
Открыть порт на микротик
89 вопросов по настройке MikroTik

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
Dst. Port – вот здесь указываем 3389 как писалось выше.
Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.
Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
Out. Interface List – тоже самое что и 10 пункт только исходящий.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Здесь настраиваем так:

Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
To Ports – ну и TCP порт на который пересылать.

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Проброс 80 порта на mikrotik

Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.

Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.

Таким образом можно пробросить 80 порт много раз, только подключаться из вне придется указывая явно порт, например http://2.34.67.8:8080.

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services

Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Источник

Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Эта статья рассчитана на начинающих пользователей, не имеющих достаточного опыта работы с оборудованием mikrotik.

Схема сети и описание сценария проброса портов

Проброс порта (port forwarding) одна из наиболее востребованных настроек роутера, потому-что у многих возникает необходимость открыть доступ из интернет к тому или иному сервису в локальной сети. Это может быть порт веб-сервера HTTP 80, почтового сервера SMTP 25 и POP3 110 или для подключения по RDP 3389.

Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.

Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.

Далее все настройки роутера будут выполняться с помощью программы Winbox, которую можно скачать с официального сайта https://mikrotik.com/download.

Для проброса портов в Mikrotik необходимо:

Запустить программу Winbox;
Указать ip адрес роутера, логин, пароль и нажать клавишу [Enter];
В меню программы перейти IP > Firewall > вкладка NAT;
Нажать кнопку [+];
Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: <номер порта>, In inteface: <интерфейс подключенный к интернету>;
Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: <адрес компьютера в локальной сети>, To Port: <порт компьютера>.

Многие используют для проброса портов Netmap — это неправильно! У netmap совсем другая задача: он используется для статического отображения одного диапазона ip адресов в другой. Чаще используется для распределения общедоступных ip адресов хостам в частной сети или для взаимодействия сетей с одинаковой адресацией.

Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.

Проброс порта mikrotik в графическом интерфейсе программы Winbox

Для начинающих пользователей mikrotik наиболее простой и понятной будет настройка проброса портов, выполняемая в графическом оконном интерфейсе Winbox. Ниже приведены скриншоты winbox и дано подробное описание всех параметров NAT, необходимых для настройки проброса порта в Mikrotik.

1. Путь к настройкам NAT в Mikrotik:

Чтобы открыть таблицу правил NAT в Mikrotik пройдите в меню путь IP > Firewall > вкладка NAT.

2. Настройки вкладки General NAT:

На вкладке General указываются параметры, по которым роутер будет понимать какие сетевые пакеты необходимо обработать. В общем случае достаточно будет указать параметры: Chain, Protocol, Dst. port, In. Interface. Остальные параметры могут быть использованы для более точной настройки.

В данном примере необходимо открыть tcp-порт 3389 для протокола удаленного рабочего стола RDP на интерфейсе ether1-GW, подключенному к интернету:

Chain: dstnat
Protocol: 6(tcp)
Dst. Port: 3389
In. Interface: ether1 (интерфейс, подключенный к интернету)

Когда открываете порт в сеть интернет лучше изменять его стандартное значение (вместо 3389 указать например 9743), чтобы снизить риски атак на этот порт. То есть из сети интернет, подключение по rdp будет приходить на этот нестандартный порт, а затем перенаправляться на стандартный порт.

настройки general для проброса порта 3389 mikrotik

Пояснение к параметрам вкладки General, при создании правила NAT:

Chain: цепочка, определяет этап прохождения пакета; dstnat — входящий пакет, идущий в nat, srcnat — исходящий пакет, покидающий nat;
Src. Address: ip-адрес источника (source) пакета;
Dst. Address: ip-адрес назначения (destination) пакета;
Protocol: протокол, доступны для выбора протоколы различных уровней OSI — канальные (l2tp), сетевые (icmp, ospf), транспортные (tcp, udp), прикладные (rdp) и другие;
Src. Port: порт источника пакета, в настройке проброса портов используется редко т.к. порт источника как правило динамический и может иметь разные значения;
Dst. port: порт, на который адресован пакет источника;
Any port: означает, что указанный номер порта может быть как источником так и назначением;
In. Interface: интерфейс, на который должен прийти пакет от источника (интерфейс, к которому подключен интернет);
Out. Interface: интерфейс, на который ушел пакет.

3. Настройки вкладки Action NAT:

После того как во вкладке General заданы параметры, по которым роутер будет отбирать нужные пакеты, необходимо создать действие для этого правила во вкладке Action.

Для перенаправления сетевых пакетов указываем Action: dst-nat и указываем на какой локальный ip-адрес и порт будем перенаправлять сетевой трафик To Addresses и To Ports. В данном случае это адрес и порт удаленного рабочего стола.

Action: dst-nat
To Addresses: 192.168.0.20 (адрес локального хоста, на который перенаправляются пакеты)
To Port: 3389 (порт локального хоста, но который перенапряются пакеты)

настройки Action NAT для проброса порта 3389 mikrotik

Пояснение к параметрам вкладки Action, при создании правила NAT:

Action: действие, которое нужно выполнить с пакетом; dst-nat — означает, что пакет пришедший в NAT нужно направить на указанный ниже адрес и порт (проброс порта);
To address: адрес, на который будет направлен пакет из NAT (адрес хоста, чей порт пробрасывается);
To port: порт, на который будет направлен пакет из NAT (порт, который пробрасывается).

Для тех, кто предпочитает для настройки mikrotik использовать терминал, проброс портов будет выполняться следующим образом.

1. Переходим в NAT:

ip firewall nat

2. Добавляем правило:

add chain=dstnat protocol=tcp dst-port=3389 in-interface=ether1-GW action=d
st-nat to-addresses=192.168.0.20 to-ports=3389

Думаю достаточно подробно изложил как осуществяется проброс портов на роутерах mikrotik. Если остались вопросы — оставляйте комментарии, будем разбираться.

Источник

Ниша маршрутизаторов для бизнес-задач занята роутерами Mikrotik. Они встречаются не только в офисах, но и в обычных домах/квартирах. Такая популярность достигнута за счет соотношения «функциональность–цена».

В настройке роутеры Микротик не слишком простые – придется поучиться основам выставления различных конфигураций на оборудовании. Даже простые задачи могут вызвать немало вопросов. Далее предстоит разобраться с пробросом NAT портов в Mikrotik. Информация пригодится преимущественно новичкам, которые ранее не имели дел с соответствующим оборудованием.

Проброс порта – это…

Проброс (он же forwarding) – это специальная технология маршрутизатора. С ее помощью можно обращаться к узлам, находящимся за роутером путем перенаправления трафика для тех или иных портов с внешнего адреса устройства на внутренний адрес узла в локальной сети. Соответствующая опция становится возможной за счет технологий NAT.

Схема работы

Чтобы был понятен принцип работы соответствующей схемы, необходимо изучить наглядный пример. В нем будет реализован простой сценарий – когда через NAT требуется организовать подключение к удаленному рабочему столу компьютера в офисе. Через него будет настроено предоставление доступа к корпоративному веб-сайту посредством интернета.

Для этого будет использоваться схема, представленная выше. Она работает так:

Весь трафик, поступающий через роутер Mikrotik, проходит через firewall.
Происходит обработка информации согласно условиям файервола.
Одна из составляющих firewall NAT (Network Address Translation). Она отвечает за преобразование сетевых IP адресов (ip firewall).
В NAT требуется указать внутренний адрес и port, который будет перенаправлять запросы. Это необходимо для подключения к программам, а также различным сервисам в пределах внутренней локальной сети.
В примере запрос на ip 87.236.16.206, а также порт 3389 (это и есть удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и port 3389.

Далее предстоит изучить несколько способов проброса порта Mikrotik. Необходимо рассмотреть наиболее простые и эффективные концепции для новичков. К ним относят использование программы Winbox, а также терминала.

Краткая схема проброса

Настройка на роутере Микротик проброса NAT – это базовая операция, которая может быть реализована несколькими методами. Чтобы активировать перенаправление портов, потребуется:

Запустить Winbox.
Указать IP адрес роутера. На данном этапе требуется ввести логин и пароль.
Нажать на Enter.
Перейти в меню программы в раздел IP – Firewall – NAT;
Нажать на кнопку с изображением плюса («+»).
Указать в chain: dstnat, Protocol: 6 (tcp), Dst. Ports: (номер порта), In interface: (интерфейс, который был заранее подключен к интернету).
Войти во вкладку Action.
Установить Action: dst-nat, To address: (компьютер в пределах локальной сети), to port: (порт компьютера).

Это – краткая инструкция, при помощи которой переадресация настраивается в несколько кликов. Некоторые пытаются настраивать проброс на роутере через Netmap. Поступать так не совсем правильно. Netmap обладает совершенно другой задачей. Данное приложение используется для статического отображения одного IP диапазона адресов в другой. В основном Netmap применяется для распределения общедоступных IP хостам в частных сетях, а также для настройки взаимодействия сетей с одной и той же адресацией.

Чтобы ранее предложенная схема проброса портов Mikrotik через Winbox была более понятной, далее она будет изучена на примере графического интерфейса. Такой подход поможет не запутаться в алгоритме даже новичкам, которые раньше не имели дел с переадресацией.

Настройка графическим интерфейсом Winbox

Начинающим пользователям не всегда понятно, как работает Winbox, поэтому им при работе с нат и другими роутерными технологиями рекомендуется пользоваться графическим интерфейсом.

Перед тем как открыть Winbox, его необходимо инициализировать на устройство:

Перейти по этой ссылке.
Открыть выпадающее меню, нажав по кнопке WinBox.
Выбрать операционную систему (разрядность).
Дождаться завершения загрузки установщика.
Осуществить открытие «Мастера установки» приложение Winbox.
Следуя подсказкам на экране, завершить инициализацию программного обеспечения.

На данном этапе рекомендуется перезагрузить устройство. Это необходимо для нормальной работы нового программного обеспечения на оборудовании.

Непосредственная настройка — инструкция

Теперь, когда необходимое приложение для настройки Микротик готово, можно прокинуть (forward) NAT порты. В этом поможет графический интерфейс:

Подождать пока открывается Winbox, а затем открыть таблицу правил NAT. Для этого потребуется перейти в IP – Firewall – NAT: .
Зайти во вкладку General. Здесь указываются параметры, по которым роутер понимает, какие сетевые пакеты требуют обработки. Обычно достаточно указать: chain, protocol, dst.port, in. interface. Остальные параметры не являются обязательными. Они служат для более точной set mapping (подключения): .
Открываем вкладку Action NAT. Здесь происходит создание действий для правил обработки пакетов в роутере. Здесь предстоит записать для перенаправления сетевых компонентов action: dst-nat. Далее требуется записать локальный ip-адрес и port, который будет перенаправлять сетевой трафик to addresses и to ports: .

Теперь остается сохранить изменения. Вот так можно пользоваться натом через Winbox.

Пояснения ко вкладкам настроек

Чуть позже пробросим порты через терминал, а также ssh для желаемого сайта. Сначала новичкам рекомендуется изучить пояснения к ранее предложенной инструкции. Они помогут лучше понимать, за что отвечает тот или иной параметр во вкладках на каждом этапе.

Когда настраивается переадресация портов, необходимо использовать вкладку General. В ней:

Chain – цепочка. Данный пункт – открытие и определение этапа прохождения пакета. Здесь srcnat – исходящий пакет, покидающий nat, а dstnat – входящий.
Src. Addresses – ip-адрес пакетного источника.
Dst. Addresses – ip-адрес назначения пакета.
Protocol – протокол. В данном меню открывается спектр выбора разных OSI-уровней. Они могут быть: канальными (l2tp), сетевыми (icmp или ospf), транспортными (tcp, udp), прикладными rdp) и иными.
Src. Port – port источника пакета. В настройках проброса портов Mikrotik встречается редко. Связано это с тем, что порт источника обычно является динамическим. Он может иметь самые разные значения.
Dst. Port – порт, на который необходимо переадресовывать пакеты.
Any port – указывает на то, что уникальный номер порта может быть не только источником, но и непосредственным значением.
In. Interface – интерфейс, на который должен приходить заданный пакет сайта от источника. К нему подключается интернет.
Out. Interface – интерфейс, на который уходят пакетные данные.

Если необходимо прокинуть port, пользователям потребуется обратить внимание на вкладку Action при создании NAT. Она имеет меньше пунктов:

Action – действие, которое выполняется с полученным пакетом. Dst-nat – это команда, которая помогает переадресовать пакеты с сайта (или иного источника) на указанные далее порт и адрес.
To address – диапазон адресов, на которые перенаправляются пакетные данные. Здесь указывается адрес хоста, чей port пробрасывается.
To port – пункт, отвечающий за «получателя» пакетных данных из NAT. Это и есть пробрасываемый port.

Прокинуть NAT не слишком трудно, если придерживаться определенных инструкций. Изучаемый процесс можно активировать через терминал, а также при помощи ssh и ftp.

Работа с терминалом

Проброс Микротик можно сделать при помощи терминала роутера. Для этого потребуется:

Подождать пока открывается и запускается терминал.
Перейти в NAT для этого используется команда: ip firewall nat.
Добавить правило: .

Теперь все будет работать в полную силу. Далее предстоит изучить еще несколько способов проброса порта Mikrotik. Они больше подходят опытным специалистам. NAT-настройки будут меняться в зависимости от сервиса, который будет публиковаться.

Удаленный рабочий стол

Чтобы воспользоваться технологией RDP, потребуется выставить настройки:

chain – dstnat;
dst. Address – внешний IP;
protocol – rdp;
action – dst-nat;
to address – сервер, на который осуществляется перенаправление.

Если единые настройки не работают, потребуется поменять протокол на TCP. Port RDP должен быть по умолчанию 3389.

Веб-сервер

Здесь настройки будут такими:

chain – dstnat;
dst.address – внешний ip;
protocol – tcp;
action – dst-nat;
to address – IP-сервера, на который происходит перенаправление;
dst.port – 80.

Выше – пример того, как будет выглядеть окно с параметрами. Если нужно осуществить открытие и перенаправление HTTPS, характеристики окажутся аналогичными. Исключение – port. Он будет не 80, а 443.

FTP

Здесь предстоит обратить внимание на dst.port. Он должен быть 20,21:

Остальные характеристики выставляются так же, как и в предыдущих случаях. Главное – это определение диапазона IP-адресов, с которыми планируется дальнейшая работа.

Настройка видеонаблюдения

Видеонаблюдение в отличие от ssh и ftp может работать на различных ports. Именно поэтому точная настройка будет зависеть от используемой системы. Ниже представлен пример проброса RTSP:

RTSP работает в пределах диапазона TCP и UDP. В приведенном примере параметры выставлены для последнего.

Как быстрее освоить тему

Теперь ясно, как происходит перенаправление портов Mikrotik. Здесь можно увидеть больше настроек соответствующей технологии. Но лучше разобраться с данным направлением помогут разнообразные компьютерные дистанционные курсы. Они предлагают лабораторные работы и интересную практику, помощь в составлении портфолио, а также инновационные и тщательно продуманные программы обучения.

При выборе направления по работе с Микротик, тренер Mikrotik и автор курса будет находиться на связи 24/7. Кураторство опытными специалистами во время обучения позволит быстрее освоить любую настройку роутера. На специализированных компьютерных курсах пользователя с нуля научат:

программировать;
настраивать роутеры и другое оборудование;
тестировать программные продукты;
администрировать сети и устройства, а также многому другому.

P. S. Интересуют компьютерные сети, сетевые технологии, протоколы передачи данных? Обратите внимание на следующие курсы в Otus:

«Network engineer«;
«Network engineer. Basic«.

Источник

Обновлено: 20.04.2023
Опубликовано: 20.06.2017

Инструкция описывает процесс настройки перенаправления сетевых запросов с внешнего подключения на компьютеры в локальной сети.

Настройка проброса на Микротике
Примеры настроек
  RDP (удаленный рабочий стол)
  WWW (80 или веб-сервер или http)
  HTTPS
  FTP
  Видеонаблюдение
  Почтовая система Zimbra
Подключение к внешнему адресу из внутренней сети

Настройка проброса

Переходим по разделам IP — Firewall — NAT — Add New:

Далее настройка выполняется в зависимости от того, какой сервис нужно опубликовать.

Примеры пробросов

RDP (удаленный рабочий стол)

Chain — dstnat;
Dst. Address — внешний IP-адрес;
Protocol — rdp;
Action — dst-nat;
To Address — IP-адрес сервера, на который должно идти перенаправление.

* если данная настройка не сработает, меняем протокол на tcp и задаем порт RDP — по умолчанию, 3389.

WWW (80 или веб-сервер или http)

Chain — dstnat;
Dst. Address — внешний IP-адрес;
Protocol — tcp;
Dst. Port — 80;
Action — dst-nat;
To Address — IP-адрес сервера, на который должно идти перенаправление.

HTTPS

Настройка та же, что для 80 порта, но в место 80 пишем 443.

FTP

Chain — dstnat;
Dst. Address — внешний IP-адрес;
Protocol — tcp;
Dst. Port — 20,21;
Action — dst-nat;
To Address — IP-адрес сервера, на который должно идти перенаправление.

Видеонаблюдение

Системы видеонаблюдения могут работать на различных портах, поэтому первым делом обращаемся к инструкции системы, с которой необходимо работать.

В данном примере рассмотрим проброс RTSP.

Chain — dstnat;
Dst. Address — внешний IP-адрес;
Protocol — udp;
Dst. Port — 554;
Action — dst-nat;
To Address — IP-адрес сервера, на который должно идти перенаправление.

* RTSP работает по протоколам TCP и UDP. В данном примере правило настроено для последнего.

Почтовая система Zimbra

Для нормальной работы почтовой системы необходимо пробросить следующие порты:

25 — основной порт для обмена почтой по протоколу SMTP.
80 — веб-интерфейс для чтения почты (http).
110 — POP3 для загрузки почты.
143 — IMAP для работы с почтовым ящиком с помощью клиента.
443 — SSL веб-интерфейс для чтения почты (https).
465 — безопасный SMTP для отправки почты с почтового клиента.
587 — SMTP для отправки почты с почтового клиента (submission).
993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
995 — SSL POP3 для загрузки почты.
5222 — для подключения к Zimbra по протоколу XMPP.
5223 — для защищенного подключения к Zimbra по протоколу XMPP.
7071 — для защищенного доступа к администраторской консоли.
8443 — SSL веб-интерфейс для чтения почты (https).
7143 — IMAP для работы с почтовым ящиком с помощью клиента.
7993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
7110 — POP3 для загрузки почты.
7995 — SSL POP3 для загрузки почты.
9071 — для защищенного подключения к администраторской консоли.

Важно отметить, что не все перечисленные порты понадобятся именно вам. Если мы не планируем использовать POP3, то и соответствующие порты для него пробрасывать не нужно.

Сама настройка на микротике будет такой:

Chain — dstnat;
Dst. Address — внешний IP-адрес;
Protocol — tcp;
Dst. Port — 25,80,110,143,443,465,587,993,995,5222,5223,9071,7071,8443,7143,7993,7110,7995;
Action — dst-nat;
To Address — IP-адрес сервера, на который должно идти перенаправление.

NAT Loopback (nat reflection)

Проброс не будет работать для внутренней сети, если исходящий внешний IP совпадает с тем, на котором опубликован сервис. Предположим, что у нас внешний адрес 95.161.166.156 и мы хотим пробросить порты 80 и 443. Все попытки к нему подключиться из внутренней сети будут заканчиваться ошибкой Connection Timeout.

Для решения задачи публикации сервиса клиентам внутренней сети есть два классическим способа:

1. Разделять ответы DNS таким образом, чтобы внутренние пользователи получали внутренний адрес, а внешние — внешний. Полезные материалы на эту тему — Настройка Split DNS на одном сервере Bind и Установка и примеры настройки Dnsmasq.

2. Использовать специальные правила при создании пробросов, которые отделяли бы внутренние запросы от внешних. Это может называться NAT Loopback или NAT Reflection.

В рамках нашей инструкции мы рассмотрим второй метод. Нам нужно создать два правила: первое — для проброса из внутренней подсети на внутренний адрес; второе — маскарадинг.

Первое правило:

Chain — dstnat;
Src. Address — внутренняя подсеть;
Dst. Address — внешний IP-адрес;
Protocol — tcp;
Dst. Port — 80,443;
Action — dst-nat;
To Address — IP-адрес сервера, на который должно идти перенаправление.

Второе правило:

Chain — srcnat;
Src. Address — внутренняя подсеть;
Dst. Address — IP-адрес сервера, на который должно идти перенаправление;
Protocol — tcp;
Dst. Port — 80,443;
Action — masquerade;

Была ли полезна вам эта инструкция?

Да Нет

Источник