To redirect specific requests to a specific address on the internal network, use dst-nat, follow the steps below:
- Once connected to the machine, select WebFig;
- Go to IP, Firewall section;
- Open the NAT tab;
- Create a new record by pressing Add New;
- A new window will open and fill in the following fields:
- Chain, choose dstnat because the IP address of the recipient will be changed;
- Select a protocol such as TCP;
- Dst. Port, specify the port that will be forwarded, for example port 80;
- In. In the Interface List, indicate the incoming interface to which the specific rule will apply, in this case it is WAN;
- Go to the bottom of the page, to the Action section;
- Action, select dst-nat;
- Enter the desired address to which you want to forward the data;
- Enter the required port.
This established rule can be translated as follows: When an incoming connection with the TCP protocol requests port 80, translate the recipient’s address and redirect it to the local address 192.168.1.1 and port 80.
Ниша маршрутизаторов для бизнес-задач занята роутерами Mikrotik. Они встречаются не только в офисах, но и в обычных домах/квартирах. Такая популярность достигнута за счет соотношения «функциональность–цена».
В настройке роутеры Микротик не слишком простые – придется поучиться основам выставления различных конфигураций на оборудовании. Даже простые задачи могут вызвать немало вопросов. Далее предстоит разобраться с пробросом NAT портов в Mikrotik. Информация пригодится преимущественно новичкам, которые ранее не имели дел с соответствующим оборудованием.
Проброс порта – это…
Проброс (он же forwarding) – это специальная технология маршрутизатора. С ее помощью можно обращаться к узлам, находящимся за роутером путем перенаправления трафика для тех или иных портов с внешнего адреса устройства на внутренний адрес узла в локальной сети. Соответствующая опция становится возможной за счет технологий NAT.
Схема работы
Чтобы был понятен принцип работы соответствующей схемы, необходимо изучить наглядный пример. В нем будет реализован простой сценарий – когда через NAT требуется организовать подключение к удаленному рабочему столу компьютера в офисе. Через него будет настроено предоставление доступа к корпоративному веб-сайту посредством интернета.
Для этого будет использоваться схема, представленная выше. Она работает так:
- Весь трафик, поступающий через роутер Mikrotik, проходит через firewall.
- Происходит обработка информации согласно условиям файервола.
- Одна из составляющих firewall NAT (Network Address Translation). Она отвечает за преобразование сетевых IP адресов (ip firewall).
- В NAT требуется указать внутренний адрес и port, который будет перенаправлять запросы. Это необходимо для подключения к программам, а также различным сервисам в пределах внутренней локальной сети.
- В примере запрос на ip 87.236.16.206, а также порт 3389 (это и есть удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и port 3389.
Далее предстоит изучить несколько способов проброса порта Mikrotik. Необходимо рассмотреть наиболее простые и эффективные концепции для новичков. К ним относят использование программы Winbox, а также терминала.
Краткая схема проброса
Настройка на роутере Микротик проброса NAT – это базовая операция, которая может быть реализована несколькими методами. Чтобы активировать перенаправление портов, потребуется:
- Запустить Winbox.
- Указать IP адрес роутера. На данном этапе требуется ввести логин и пароль.
- Нажать на Enter.
- Перейти в меню программы в раздел IP – Firewall – NAT;
- Нажать на кнопку с изображением плюса («+»).
- Указать в chain: dstnat, Protocol: 6 (tcp), Dst. Ports: (номер порта), In interface: (интерфейс, который был заранее подключен к интернету).
- Войти во вкладку Action.
- Установить Action: dst-nat, To address: (компьютер в пределах локальной сети), to port: (порт компьютера).
Это – краткая инструкция, при помощи которой переадресация настраивается в несколько кликов. Некоторые пытаются настраивать проброс на роутере через Netmap. Поступать так не совсем правильно. Netmap обладает совершенно другой задачей. Данное приложение используется для статического отображения одного IP диапазона адресов в другой. В основном Netmap применяется для распределения общедоступных IP хостам в частных сетях, а также для настройки взаимодействия сетей с одной и той же адресацией.
Чтобы ранее предложенная схема проброса портов Mikrotik через Winbox была более понятной, далее она будет изучена на примере графического интерфейса. Такой подход поможет не запутаться в алгоритме даже новичкам, которые раньше не имели дел с переадресацией.
Настройка графическим интерфейсом Winbox
Начинающим пользователям не всегда понятно, как работает Winbox, поэтому им при работе с нат и другими роутерными технологиями рекомендуется пользоваться графическим интерфейсом.
Перед тем как открыть Winbox, его необходимо инициализировать на устройство:
- Перейти по этой ссылке.
- Открыть выпадающее меню, нажав по кнопке WinBox.
- Выбрать операционную систему (разрядность).
- Дождаться завершения загрузки установщика.
- Осуществить открытие «Мастера установки» приложение Winbox.
- Следуя подсказкам на экране, завершить инициализацию программного обеспечения.
На данном этапе рекомендуется перезагрузить устройство. Это необходимо для нормальной работы нового программного обеспечения на оборудовании.
Непосредственная настройка — инструкция
Теперь, когда необходимое приложение для настройки Микротик готово, можно прокинуть (forward) NAT порты. В этом поможет графический интерфейс:
- Подождать пока открывается Winbox, а затем открыть таблицу правил NAT. Для этого потребуется перейти в IP – Firewall – NAT: .
- Зайти во вкладку General. Здесь указываются параметры, по которым роутер понимает, какие сетевые пакеты требуют обработки. Обычно достаточно указать: chain, protocol, dst.port, in. interface. Остальные параметры не являются обязательными. Они служат для более точной set mapping (подключения): .
- Открываем вкладку Action NAT. Здесь происходит создание действий для правил обработки пакетов в роутере. Здесь предстоит записать для перенаправления сетевых компонентов action: dst-nat. Далее требуется записать локальный ip-адрес и port, который будет перенаправлять сетевой трафик to addresses и to ports: .
Теперь остается сохранить изменения. Вот так можно пользоваться натом через Winbox.
Пояснения ко вкладкам настроек
Чуть позже пробросим порты через терминал, а также ssh для желаемого сайта. Сначала новичкам рекомендуется изучить пояснения к ранее предложенной инструкции. Они помогут лучше понимать, за что отвечает тот или иной параметр во вкладках на каждом этапе.
Когда настраивается переадресация портов, необходимо использовать вкладку General. В ней:
- Chain – цепочка. Данный пункт – открытие и определение этапа прохождения пакета. Здесь srcnat – исходящий пакет, покидающий nat, а dstnat – входящий.
- Src. Addresses – ip-адрес пакетного источника.
- Dst. Addresses – ip-адрес назначения пакета.
- Protocol – протокол. В данном меню открывается спектр выбора разных OSI-уровней. Они могут быть: канальными (l2tp), сетевыми (icmp или ospf), транспортными (tcp, udp), прикладными rdp) и иными.
- Src. Port – port источника пакета. В настройках проброса портов Mikrotik встречается редко. Связано это с тем, что порт источника обычно является динамическим. Он может иметь самые разные значения.
- Dst. Port – порт, на который необходимо переадресовывать пакеты.
- Any port – указывает на то, что уникальный номер порта может быть не только источником, но и непосредственным значением.
- In. Interface – интерфейс, на который должен приходить заданный пакет сайта от источника. К нему подключается интернет.
- Out. Interface – интерфейс, на который уходят пакетные данные.
Если необходимо прокинуть port, пользователям потребуется обратить внимание на вкладку Action при создании NAT. Она имеет меньше пунктов:
- Action – действие, которое выполняется с полученным пакетом. Dst-nat – это команда, которая помогает переадресовать пакеты с сайта (или иного источника) на указанные далее порт и адрес.
- To address – диапазон адресов, на которые перенаправляются пакетные данные. Здесь указывается адрес хоста, чей port пробрасывается.
- To port – пункт, отвечающий за «получателя» пакетных данных из NAT. Это и есть пробрасываемый port.
Прокинуть NAT не слишком трудно, если придерживаться определенных инструкций. Изучаемый процесс можно активировать через терминал, а также при помощи ssh и ftp.
Работа с терминалом
Проброс Микротик можно сделать при помощи терминала роутера. Для этого потребуется:
- Подождать пока открывается и запускается терминал.
- Перейти в NAT для этого используется команда: ip firewall nat.
- Добавить правило: .
Теперь все будет работать в полную силу. Далее предстоит изучить еще несколько способов проброса порта Mikrotik. Они больше подходят опытным специалистам. NAT-настройки будут меняться в зависимости от сервиса, который будет публиковаться.
Удаленный рабочий стол
Чтобы воспользоваться технологией RDP, потребуется выставить настройки:
- chain – dstnat;
- dst. Address – внешний IP;
- protocol – rdp;
- action – dst-nat;
- to address – сервер, на который осуществляется перенаправление.
Если единые настройки не работают, потребуется поменять протокол на TCP. Port RDP должен быть по умолчанию 3389.
Веб-сервер
Здесь настройки будут такими:
- chain – dstnat;
- dst.address – внешний ip;
- protocol – tcp;
- action – dst-nat;
- to address – IP-сервера, на который происходит перенаправление;
- dst.port – 80.
Выше – пример того, как будет выглядеть окно с параметрами. Если нужно осуществить открытие и перенаправление HTTPS, характеристики окажутся аналогичными. Исключение – port. Он будет не 80, а 443.
FTP
Здесь предстоит обратить внимание на dst.port. Он должен быть 20,21:
Остальные характеристики выставляются так же, как и в предыдущих случаях. Главное – это определение диапазона IP-адресов, с которыми планируется дальнейшая работа.
Настройка видеонаблюдения
Видеонаблюдение в отличие от ssh и ftp может работать на различных ports. Именно поэтому точная настройка будет зависеть от используемой системы. Ниже представлен пример проброса RTSP:
RTSP работает в пределах диапазона TCP и UDP. В приведенном примере параметры выставлены для последнего.
Как быстрее освоить тему
Теперь ясно, как происходит перенаправление портов Mikrotik. Здесь можно увидеть больше настроек соответствующей технологии. Но лучше разобраться с данным направлением помогут разнообразные компьютерные дистанционные курсы. Они предлагают лабораторные работы и интересную практику, помощь в составлении портфолио, а также инновационные и тщательно продуманные программы обучения.
При выборе направления по работе с Микротик, тренер Mikrotik и автор курса будет находиться на связи 24/7. Кураторство опытными специалистами во время обучения позволит быстрее освоить любую настройку роутера. На специализированных компьютерных курсах пользователя с нуля научат:
- программировать;
- настраивать роутеры и другое оборудование;
- тестировать программные продукты;
- администрировать сети и устройства, а также многому другому.
P. S. Интересуют компьютерные сети, сетевые технологии, протоколы передачи данных? Обратите внимание на следующие курсы в Otus:
- «Network engineer«;
- «Network engineer. Basic«.
Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе eve-ng. Думаю, вы это все знаете, так что давайте начнем.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
]
Содержание
- Перенаправление портов Mikrotik
- Проброс 80 порта на mikrotik
- Открыть порт на микротик
- 89 вопросов по настройке MikroTik
Перенаправление портов Mikrotik
Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.
Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:
- Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
- Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
- Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
- Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
- Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
- Dst. Port – вот здесь указываем 3389 как писалось выше.
- Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
- In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.
- Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
- In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
- Out. Interface List – тоже самое что и 10 пункт только исходящий.
Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.
Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.
Здесь настраиваем так:
- Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
- Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
- Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
- To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
- To Ports – ну и TCP порт на который пересылать.
Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.
Проброс 80 порта на mikrotik
Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.
Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.
Таким образом можно пробросить 80 порт много раз, только подключаться из вне придется указывая явно порт, например http://2.34.67.8:8080.
Открыть порт на микротик
Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.
Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services
Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.
Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Эта статья рассчитана на начинающих пользователей, не имеющих достаточного опыта работы с оборудованием mikrotik.
Схема сети и описание сценария проброса портов
Проброс порта (port forwarding) одна из наиболее востребованных настроек роутера, потому-что у многих возникает необходимость открыть доступ из интернет к тому или иному сервису в локальной сети. Это может быть порт веб-сервера HTTP 80, почтового сервера SMTP 25 и POP3 110 или для подключения по RDP 3389.
Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.
Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.
Далее все настройки роутера будут выполняться с помощью программы Winbox, которую можно скачать с официального сайта https://mikrotik.com/download.
Для проброса портов в Mikrotik необходимо:
- Запустить программу Winbox;
- Указать ip адрес роутера, логин, пароль и нажать клавишу [Enter];
- В меню программы перейти IP > Firewall > вкладка NAT;
- Нажать кнопку [+];
- Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: <номер порта>, In inteface: <интерфейс подключенный к интернету>;
- Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: <адрес компьютера в локальной сети>, To Port: <порт компьютера>.
Многие используют для проброса портов Netmap — это неправильно! У netmap совсем другая задача: он используется для статического отображения одного диапазона ip адресов в другой. Чаще используется для распределения общедоступных ip адресов хостам в частной сети или для взаимодействия сетей с одинаковой адресацией.
Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.
Проброс порта mikrotik в графическом интерфейсе программы Winbox
Для начинающих пользователей mikrotik наиболее простой и понятной будет настройка проброса портов, выполняемая в графическом оконном интерфейсе Winbox. Ниже приведены скриншоты winbox и дано подробное описание всех параметров NAT, необходимых для настройки проброса порта в Mikrotik.
1. Путь к настройкам NAT в Mikrotik:
Чтобы открыть таблицу правил NAT в Mikrotik пройдите в меню путь IP > Firewall > вкладка NAT.
2. Настройки вкладки General NAT:
На вкладке General указываются параметры, по которым роутер будет понимать какие сетевые пакеты необходимо обработать. В общем случае достаточно будет указать параметры: Chain, Protocol, Dst. port, In. Interface. Остальные параметры могут быть использованы для более точной настройки.
В данном примере необходимо открыть tcp-порт 3389 для протокола удаленного рабочего стола RDP на интерфейсе ether1-GW, подключенному к интернету:
- Chain: dstnat
- Protocol: 6(tcp)
- Dst. Port: 3389
- In. Interface: ether1 (интерфейс, подключенный к интернету)
Когда открываете порт в сеть интернет лучше изменять его стандартное значение (вместо 3389 указать например 9743), чтобы снизить риски атак на этот порт. То есть из сети интернет, подключение по rdp будет приходить на этот нестандартный порт, а затем перенаправляться на стандартный порт.
Пояснение к параметрам вкладки General, при создании правила NAT:
- Chain: цепочка, определяет этап прохождения пакета; dstnat — входящий пакет, идущий в nat, srcnat — исходящий пакет, покидающий nat;
- Src. Address: ip-адрес источника (source) пакета;
- Dst. Address: ip-адрес назначения (destination) пакета;
- Protocol: протокол, доступны для выбора протоколы различных уровней OSI — канальные (l2tp), сетевые (icmp, ospf), транспортные (tcp, udp), прикладные (rdp) и другие;
- Src. Port: порт источника пакета, в настройке проброса портов используется редко т.к. порт источника как правило динамический и может иметь разные значения;
- Dst. port: порт, на который адресован пакет источника;
- Any port: означает, что указанный номер порта может быть как источником так и назначением;
- In. Interface: интерфейс, на который должен прийти пакет от источника (интерфейс, к которому подключен интернет);
- Out. Interface: интерфейс, на который ушел пакет.
3. Настройки вкладки Action NAT:
После того как во вкладке General заданы параметры, по которым роутер будет отбирать нужные пакеты, необходимо создать действие для этого правила во вкладке Action.
Для перенаправления сетевых пакетов указываем Action: dst-nat и указываем на какой локальный ip-адрес и порт будем перенаправлять сетевой трафик To Addresses и To Ports. В данном случае это адрес и порт удаленного рабочего стола.
- Action: dst-nat
- To Addresses: 192.168.0.20 (адрес локального хоста, на который перенаправляются пакеты)
- To Port: 3389 (порт локального хоста, но который перенапряются пакеты)
Пояснение к параметрам вкладки Action, при создании правила NAT:
- Action: действие, которое нужно выполнить с пакетом; dst-nat — означает, что пакет пришедший в NAT нужно направить на указанный ниже адрес и порт (проброс порта);
- To address: адрес, на который будет направлен пакет из NAT (адрес хоста, чей порт пробрасывается);
- To port: порт, на который будет направлен пакет из NAT (порт, который пробрасывается).
Для тех, кто предпочитает для настройки mikrotik использовать терминал, проброс портов будет выполняться следующим образом.
1. Переходим в NAT:
ip firewall nat
2. Добавляем правило:
add chain=dstnat protocol=tcp dst-port=3389 in-interface=ether1-GW action=d
st-nat to-addresses=192.168.0.20 to-ports=3389
Думаю достаточно подробно изложил как осуществяется проброс портов на роутерах mikrotik. Если остались вопросы — оставляйте комментарии, будем разбираться.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Материал из MikroTik Wiki
Что это?
Проброс портов это технология, позволяющая получать доступ к устройствам в локальной сети из-вне. Это происходит за счет правила, которое работает по условию: если пришел запрос на порт Х (входящий порт), то надо перенаправить трафик на порт Y (исходящий порт) устройства с IP-адресом Z. При этом входящий порт (X) и исходящий порт (Y) могут, как быть одинаковыми, так и различаться.
Для чего нужно?
Проброс портов используется, если надо получить доступ из-вне к терминальному или веб-серверу внутри организации, если используются пиринговые сети. Многопользовательские игры то же иногда используют эту технологию.
Настройка
Для примера мы пробросим 80 порт, он обычно нужен если вы решили разместить у себя в локальной сети веб-сервер с вашим веб-проектом.
В нашем примере: внешний порт маршрутизатора (ether5-WAN1) с адресом 10.1.100.1, внутренний адрес компьютера на котором веб-сервер 192.168.15.15.
Через графический интерфейс
Для того, чтобы пробросить порты надо в меню выбрать IP => Firewall и далее вкладку «NAT». Нажать значок + для добавления нового правила. Далее необходимо выполнить следующие настройки:
- Вкладка General:
- Chain: dstnat
- Protocol: указать протокол 6 (tcp)
- Dst. Port: указать порт входящего соединения.
- In. Interface: выбрать интерфейс входящего соединения
Важно указывать входящий интерфейс, так как в противном случае маршрутизатор может перенаправить трафик с другого интерфейса по создаваемому нами правилу и это может привести к проблемам. Если в приведенном нами примере не указать входящий интерфейс, то в случае попытки из локальной сети открыть сайт по http:// маршрутизатор перенаправит поток на внутренний сервер с адресом 192.168.15.15.
Так же обратите внимание что для других задач, нужно будет указывать другой протокол (к примеру udp) — поэтому вы должны выяснить какие порты и с какими протоколами требуют проброса для вашей задачи (приложения).
- Вкладка Action:
- Action: dst-nat
- To Addresses: указать адрес на который надо выполнить проброс
- To Ports: указать порт на который надо выполнить проброс
Через консоль
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether5-WAN1 protocol=tcp to-addresses=192.168.15.15 to-ports=80
Если в качестве входящего порта надо использовать порт, отличный от оригинального. Например, из-вне надо получить доступ по порту 8080, а веб-сервер при этом работает по 80-му порту, то надо соответствующим образом изменить параметр «Destination Port». Dst. Port: в графическом интерфейсе или dst-port в консоли.
Проверка
Воспользуйтесь многочисленными веб сервисами проверки, например этим. Программа, которая должна отвечать по запрашиваемому порту должна быть активна, чтобы при проверке порт виделся как «открытый». Например, порт для веб-сервера на самом деле открыт, но если веб-сервер не запущен, статус порта при проверке будет «закрыт».