Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

NAT and port forwarding Mikrotik.


Firewall уже настроен. Далее необходимо пробросить порты и настроить NAT.

В начале повествования небольшой ликбез: http://xgu.ru/wiki/NAT

Вебинар: https://www.youtube.com/watch?v=HlNlpJDiJMs

У меня есть вот такая схема:

Чтобы не настраивать отдельный сервер, внутри сети, ставлю еще Mikrotik (он будет эмулировать сервер, его повешу, как DHCP Client) на нем, как раз есть SSH, Telnet, их и проброшу наружу на пограничном Mikrotik.

На внутреннем Mikrotik у меня пока такие настройки:

Здесь же добавим счетчик:

Здесь для понимания, уже необходима полная картинка:

Далее переходим к пограничному Mikrotik и прокидываем у него на внешнем интерфейсе 1.1.1.1 порты 2222, 2323 с эмулятора 10.0.0.5:22,23. Проверять будем с другого пограничного Mikrotik 1.1.1.2.

Правило srcnat у нас уже ранее настроено:

Chain-канал приемник, нам нужно принимать из локальной сети, поэтому выбираем srcnat

Out.Interface – Внешний интерфейс маршрутизатора, тот которым он смотрит в интернет

Далее открываем вкладку Action:

В поле Action выбираем masquerade(Маскарад).  Теперь будет происходить подмена локальных  ip, адресом предоставленным провайдером.  Минимальная настройка NAT на Mikrotik закончена.

Пробросим порты на основном (пограничном) Mikrotik.

Chain-канал приемник, есть два параметра srcnat-из локальной сети в интернет и dstnat из интернета в локальную сеть. Нам нужно dstanat

Src. Address — адрес с которого принимать запрос, например мы хотим разрешить подключение только с одного адреса, тогда нам нужно прописать в этом поле этот адрес. Если ничего не указано, то запросы будут приниматься со всех адресов

Dst. Address— адрес назначения (всегда ip маршрутизатора).

Protocol— Обязательное поле, указываем протокол работы, http, udp и т.д.

Src.Port – Порт источника с которого идет запрос, для нас это не важно

Dst.Port— обязательный параметр, указывает на каком порту роутер будет принимать запрос, здесь может быть указан абсолютно любой, например для rdp не обязательно указывать 3389, для безопасности лучше указать другой порт, например 33389.

Any.Port – объединяет два предыдущего параметра, если здесь будет что то указано, то это скажет маршрутизатору что src и dst порт равен указанному.

In.Interface – интерфейс на котором настроен внешний ip адрес Микротика

Out. Interface – интерфейс подключения компьютера, на который идет проброс, заполнять необязательно

Более тонкие настройки, которые редко используются

In.Interface List, Out. Interface List – принимает значение all т.е. использовать любой интерфейс, в принципе то же самое, что если не заполнять поля In и Out Interface

Packet Mark, Connection Mark, Routing Mark – Пробрасывать маркированные пакеты, маркировка происходит на вкладке firewall/mangle.

Connection Type — Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports, sip, ftp и т.д.

Обратите внимание, что перед полем можно поставить восклицательный знак, это означает отрицание

Ранее в Firewall у нас уже были правила, добавим еще пару:

-Защитим цепочку Forward запретив трафик из вне во внутреннюю сеть.

-Теперь разрешим наши проброшенные порты:

Все готово, осталось проверить, что все работает. На втором Mikrotik (с адреса 1.1.1.2) проверяем:

Отсюда видно, что все ГУД и проброшенные порты доступны.

Можно взглянуть и на логи на основном (пограничном) Mikrotik 1.1.1.1:

На этом пока все. Продолжение следует…

Всем хорошей работы!!!

30.07.2019 - Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое...

Sorry, the comment form is closed at this time.

%d такие блоггеры, как: