Проброс портов в локальную сеть

Тема в разделе "Маршрутизация", создана пользователем BarMazul, 10 фев 2017.

  1. BarMazul

    BarMazul Новый участник

    Доброго дня. неожиданно случилась следующая проблема. Есть внешний адрес, есть микротик (ROS 6.38.1), есть внутренняя сеть. Прописан проброс порта на внутренний адрес, при попытке входа в цепочке NAT вижу изменения счетчика, в цепочке форвард нет. Доступа что характерно тоже нет.

    Странно, что в аналогичной конфигурации такая схема работает. Подскажите куда копать, есть подозрение, что я упустил какую-то деталь.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Проверяете снаружи?
     
  3. BarMazul

    BarMazul Новый участник

  4. None

    None Новый участник

    позволю предположить, что счетчик увеличивается в правиле 13
    там же и дропаются ваши dst NAT, включите логирование на этом правиле и обратитесь из инета на ваши сервера.
    нет правила разрешающего форвард на to-addresses=192.168.1.47 to-ports=80 и to-addresses=192.168.1.10 to-ports=80
     
  5. BarMazul

    BarMazul Новый участник

    Да в дропе действительно идет инкремент счетчика.
    мне не надо форвардить 80 - 80 мне надо форвардить 8040 - 80.

    Интересный момент. Я пробросил порт
    Причем в форварде не прописывал этот порт. И все взлетело сразу. Т.е. winbox по адресу с портом сразу вонзился в микротик.
     
  6. None

    None Новый участник

    сначала работает dnat, заменяя адрес получателя на 192.168.1.10 и порт на 80
    дальше пакет приходит на forward filter с уже измененными адресом получателя и портом, но в таблице filter нет привила разрешающего forward на 192.168.1.10:80 и пакет дропается в последнем правиле.
     
  7. BarMazul

    BarMazul Новый участник

    Вот это правило разве не разрешает форвард 8040 порта в целом?
     
  8. None

    None Новый участник

    нет, вам нужно правило
    chain=forward action=accept protocol=tcp dst-port=80 dst-address=192.168.1.47 in-interface=Rostelecom
    и второе правило с dst-address=192.168.1.10

    когда пакет доходит до этого места, в нем уже нет 8040 порта, ровно как и внешнего адреса
     
  9. BarMazul

    BarMazul Новый участник

    Т.е. в целом достаточно было бы в форварде разрешающее правило для 80 порта прописать?

     
  10. None

    None Новый участник

    да, но желательно дополнительными критериями конкретизировать правило
    например указать in interface, dst address, dst port, что бы четко понимать что происходит
    слишком общее правило с указанием лишь 80 порта может сработать там где вы не ожидаете
     
    Илья Князев нравится это.
  11. BarMazul

    BarMazul Новый участник

    Спасибо всем за ответы. Проблема решилась. Как и в большинстве случаев дело не в настройке микротика. Человеческий фактор, машина на которую пробрасывали порт была реконфигурирована. Вместо статического адреса был поставлен dhcp, соответственно порт кидался туда где его не может быть.

    Место которое я ожидаю будет регламентироваться правилами в NAT цепочке если я не ошибаюсь?
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

    Но может сработать "не оттуда". Например при попытке пройти из LAN на внешний http сервер.
     
  13. BarMazul

    BarMazul Новый участник

    В nat цепочке вроде получается указано куда.
    Или может не сработать?
     
  14. Scremble

    Scremble Новый участник

    Добрый день!
    Делаю рекомендованную настройку:
    /ip firewall nat add action=dst-nat chain=dstnat comment="weblogic" dst-port=80 protocol=tcp to-addresses=169.254.109.59 to-ports=7003
    появляются пакеты в статистике: Bytes Packets. Но при попытке зайти на 80 порт возникает ошибка:
    "Время ожидания соединения истекло"
    Раньше была ошибка (до этого правила) "Попытка соединения не удалась".
    После очистки кэша браузера проблема не устраняется.
     
  15. Илья Князев

    Илья Князев Администратор Команда форума

    Эта сеть не маршрутизаируется и не может иметь Default Gateway в соответствии с RFC.
     
  16. Scremble

    Scremble Новый участник

    Как это можно исправить? Этот адрес назначается автоматически внутри локальной сети.
     
  17. Илья Князев

    Илья Князев Администратор Команда форума

    Настроить DHCP или задать адреса статикой.
     
  18. Scremble

    Scremble Новый участник

    Local Network:
    IP Address: 192.168.88.1
    Netmask: 255.255.255.0/24
    DHCP Server: вкл
    DHCP Server Range: 192.168.88.10-192.168.88.254

    При этих настройках моему компьютеру выдают вот такой адрес: 169.254.109.59
     
  19. Scremble

    Scremble Новый участник

    Установил статику, прописал:
    /ip firewall nat add action=dst-nat chain=dstnat comment="weblogic" dst-port=80 protocol=tcp to-addresses=192.168.88.10 to-ports=7003
    Все равно не работает.
     
  20. Сервис у вас на 7003 порту вертится ?