Проброс портов (CRS125-24G-1S-IN).

Тема в разделе "Маршрутизация", создана пользователем TROL, 5 дек 2018.

  1. TROL

    TROL Новый участник

    Нужна помощь в настройке правил проброса портов. Не получается перенаправить входящие пакеты на конкретный адрес в локальной сети.
    Реализована схема с бэкап каналом. В случае обрыва основного канала, происходит переключение. Для этого используется механизм "Netwatch". Каждые 5с пингуется адрес 8.8.4.4, в случае потери пинга, активирую маршрут в "Route List" для второго канала. Как только пинг возобновляется, маршрут в листе "Route List" отключается.
    В локальной сети есть сервисы: FTP; PLEX; Torrent; Web
    Для удобства написания правил задействован "Interface List".

    ----------------------------------------------------------------
    Оборудование: CRS125-24G-1S-IN
    Firmware: 6.43.7
    ----------------------------------------------------------------
    Провайдеров интернета: 2
    (master): LAN_24-WAN_1
    (slave): LAN_8-WAN_2
    ----------------------------------------------------------------
    Используется: Bonding, CAPSMAN
    ----------------------------------------------------------------
    Interface List:
    WAN: LAN_8-WAN-2
    WAN: LAN_24-WAN-1
    ----------------------------------------------------------------
    Bonding: Mode: 802.3ad
    LAN_2 + LAN_3
    ----------------------------------------------------------------
    Address List:
    10.192.97.70/22 - 10.192.96.0 - LAN_24-WAN_1
    192.168.11.1/24 - 192.168.11.0 - BRIDGE-LAN
    D 192.168.100.5/24 - 192.168.100.0 - LAN_8-WAN_2
    ----------------------------------------------------------------


    Код:
    /ip firewall filter
    add action=accept chain=forward comment=FTP dst-address={мой внешний IP} dst-port=21,50000-50020 in-interface-list=WAN protocol=tcp
    add action=accept chain=forward comment="WEB 80" dst-port=80 in-interface-list=WAN protocol=tcp
    add action=accept chain=forward comment="WEB 443" dst-port=443 in-interface-list=WAN protocol=tcp
    add action=accept chain=forward comment=PLEX-Fierwall-32400 dst-port=32400 in-interface-list=WAN log-prefix=PLEX-Fierwall-32400 protocol=tcp
    add action=accept chain=input comment="L2TP udp 1701" dst-port=1701 in-interface-list=WAN protocol=udp
    add action=accept chain=input comment="L2TP udp" in-interface-list=WAN log-prefix=L2TP-UDP port=1701,500,4500 protocol=udp
    add action=accept chain=input comment="L2TP ipsec" in-interface-list=WAN log-prefix=L2TP-IPsec protocol=ipsec-esp
    add action=accept chain=forward comment="allow vpn to lan" in-interface-list=!WAN out-interface=BRIDGE-LAN src-address=192.168.13.0/24
    add action=drop chain=output comment="DROP-Ping-Google-WAN-2" dst-address=8.8.4.4 out-interface=LAN_8-WAN_2
    add action=accept chain=input comment="Allow connected connections" connection-state=related
    add action=accept chain=forward connection-state=related
    add action=accept chain=input comment="Allow established connections" connection-state=established
    add action=accept chain=forward connection-state=established
    add action=accept chain=input comment="Allow ping" protocol=icmp
    add action=accept chain=forward protocol=icmp
    add action=drop chain=input comment="Disable bad connections" connection-state=invalid
    add action=drop chain=forward connection-state=invalid
    
    /ip firewall nat
    add action=dst-nat chain=dstnat comment=FTP dst-port=21 in-interface-list=WAN log=yes log-prefix="FTP (21)" protocol=tcp \
        to-addresses=192.168.11.10 to-ports=21
    add action=dst-nat chain=dstnat comment="FTP Passive" dst-port=50000-50020 in-interface-list=WAN log=yes log-prefix="FTP (Passive)" \
        protocol=tcp to-addresses=192.168.11.10 to-ports=50000-50020
    add action=masquerade chain=srcnat comment=ALL out-interface-list=WAN
    add action=dst-nat chain=dstnat comment=PLEX-NAT-32400 dst-port=32400 in-interface-list=WAN log-prefix=PLEX-NAT-32400 protocol=tcp \
        to-addresses=192.168.11.10 to-ports=32400
    add action=dst-nat chain=dstnat comment="TORRENT 51413" dst-port=51413 in-interface-list=WAN log-prefix="TORRENT UDP" protocol=tcp \
        to-addresses=192.168.11.10 to-ports=51413
    add action=dst-nat chain=dstnat comment="WEB Server" dst-port=80 in-interface-list=WAN protocol=tcp to-addresses=192.168.11.12 to-ports=80
    add action=dst-nat chain=dstnat comment="WEB Server 443" dst-port=443 in-interface-list=WAN protocol=tcp to-addresses=192.168.11.12 to-ports=443
    add action=dst-nat chain=dstnat comment="(local) FTP/WEB" disabled=yes dst-address={Внешний IP} dst-port=443,80,21,50000-50020 protocol=tcp src-address=\
        192.168.11.0/24 to-addresses=192.168.11.10
    add action=masquerade chain=srcnat comment="(local) FTP/WEB" disabled=yes dst-address=192.168.11.10 dst-port=443,80,21,50000-50020 protocol=tcp src-address=\
        192.168.11.0/24
    
    /interface bridge
    add arp=proxy-arp name=BRIDGE-LAN protocol-mode=none
    
    /interface bridge port
    add bridge=BRIDGE-LAN hw=no interface=Bonding
    add bridge=BRIDGE-LAN interface=LAN_1
    add bridge=BRIDGE-LAN interface=LAN_4
    add bridge=BRIDGE-LAN interface=LAN_5
    add bridge=BRIDGE-LAN interface=LAN_6
    add bridge=BRIDGE-LAN interface=LAN_7
    
    
     
    Последнее редактирование: 5 дек 2018
  2. TROL

    TROL Новый участник

    Тему закрываем, сам разобрался.