Как Открыть Порт Для Торрента Mikrotik • Выбор действия

Инструменты-помощники системного администратора: 💫 💫 💫 💫 💫 читайте на сайте

А вот теперь, имея на руках список хулиганов (ssh_blacklist), можно банить им либо только работу с ssh, либо вообще любые действия в сторону нашего микротика: Благодаря приведенной инструкции вы сможете почерпнуть для себя важную информацию и произвести настройку проброса портов самостоятельно. К примеру, для работы любого Torrent-клиента необходимо задействовать порт 51413, для удаленного соединения посредством использования подключения RDP 3389, для установки связи с ByFly 55555 и т.

Базовая настройка фаервола в Микротик

Сегодня хочу поподробнее раскрыть тему защиты роутеров популярной латвийской марки. Речь пойдет о базовой настройке Firewall в Mikrotik для обеспечения безопасности и удобства. Статья на эту тему была написана уже давно, но я решил ее полностью переделать и актуализировать.

Долгое время у меня была опубликована статья про простую настройку файрвола на микротик. Там были перечислены базовые правила для ограничения доступа к роутеру, и тем не менее, статья собрала более 200 тыс. просмотров.

Итак, будем считать, что вы уже настроили роутер примерно так же, как я описал в своей статье. Есть локальная сеть, которая будет выходить в интернет через микротик. И есть сам микротик, который хочется защитить, ограничив доступ для всего лишнего, разрешив только то, что нам нужно.

192.168.88.1 локальный адрес микротика
bridge название бриджа, в который объединены все интерфейсы для локальной сети
ether1 интерфейс для внешнего подключения WAN
192.168.88.0/24 локальная сеть, которую обслуживает микротик

 mikrotik-firewall-01-7949126

Проброс портов и Hairpin NAT в роутерах Mikrotik
В настройках протокола IPv4 нужно перейти к дополнительным параметрам и указать на вкладке параметров IP дополнительные адреса (как это показано на изображении выше), после чего прописать адрес, с которым будет взаимодействовать роутер.
Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Мнение эксперта
Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!
Задать вопрос эксперту
Но это еще не все, после PREROUTING пакет попадет в цепочку FORWARD, в которой запрещены любые внешние пакеты, кроме инициированных из локальной сети соединений. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Mikrotik не открывается порт

Default firewall в Mikrotik

Если вы используете дефолтную конфигурацию роутера, то она по-умолчанию имеет стандартные правила firewall. Привожу список стандартных правил (rules) с комментариями. Напоминаю, что экспорт правил firewall в mikrotik можно выполнить следующей командой:

В принципе, по приведенным комментариям примерно понятно, что тут происходит. Дропаются все входящие и транзитные соединения не из локальной сети, разрешен пинг — icmp, разрешен ipsec, разрешены установленные соединения. Все. Ну и настроен NAT через WAN интерфейс.

Во многих случаях данных правил по-умолчанию может быть достаточно обычному пользователю, который просто настроил маршрутизатор дома для выхода в интернет. Берите на вооружение, если вам от маршрутизатора больше ничего не надо.

 mikrotik-firewall-02-6924983

а Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс — это, грубо говоря, канал связи роутера с другим компьютером/компьютерами) А на вкладке Action и в поле Action выбираем dst-nat, а в появившихся с низу полях To Address и To Ports — локальный адрес нашего компьютера 192. Постарался показать максимально подробно базовый набор правил фаервола для обеспечения безопасности и защиты локальной сети и самого роутера.

Hairpin NAT

Проброс портов и Hairpin NAT в роутерах Mikrotik

Почему так происходит? Давайте рассмотрим еще одну схему:

Что же делать? Очевидно, что нужно каким-то образом заставить веб-сервер отвечать не напрямую клиенту, а пересылать пакет обратно маршрутизатору. Здесь нам на помощь придет действие src-nat (SNAT), которое позволяет изменить адрес отправителя, находящееся в цепочке POSTROUTING. В терминах Mikrotik данная настройка носит наименование Hairpin NAT.

Чтобы понять, как это работает мы подготовили следующую схему:

Обратите внимание, что в качестве адреса и порта назначения мы указываем внутренние адрес и порт, так как пакет уже прошел цепочку PREROUTING, где данные получателя были изменены. К сожалению, не все это понимают, во многих инструкциях в сети в данном правиле фигурирует внешний адрес, стоит ли говорить, что такое правило работать не будет.

Через терминал данное правило можно создать следующим образом:

В нашем случае все адреса статические, поэтому использование src-nat здесь будет более уместно.

Если вы нигде не допустили ошибок — все будет работать, как и предполагалось.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Мнение эксперта
Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!
Задать вопрос эксперту
Когда потребуется произвести перенаправление данных из внутренней сети во внешнюю, можно использовать варианты dst-nat и netmap. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Расширенные настройки Mikrotik RouterOS: перенаправление портов — dstnat

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять. Address здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. Подводя итоги, можно отметить, что проброс портов Микротик — дело достаточно сложное, и рядовой пользователь, не знакомый хотя бы с элементарным знанием интерфейса роутеров этой серии, справится вряд ли.

Выбор действия

Выбрать операцию, которая будет активирована при приеме входящих пакетов, есть из чего. Чтобы не усложнять ситуацию, можно установить значение Accept. В этом случае все пакеты будут приниматься автоматически.

Когда потребуется произвести перенаправление данных из внутренней сети во внешнюю, можно использовать варианты dst-nat и netmap. Второй вариант предпочтительнее, поскольку является улучшенной версией первого.

Далее в поле To Address указываем название компьютера, на который будет производиться переадресация, и вводим адрес порта. Нажимаем кнопку Apply — адрес машины появится в списке.

Также можно перейти к разделу комментариев (Comments) и указать информацию для созданного правила, чтобы в дальнейшем система не запрашивала выбор действия. На этом проброс портов «Микротик» можно считать завершенным. Но не все так просто.

проброс портов микротик

Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Мнение эксперта
Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!
Задать вопрос эксперту
На вкладке Action, для этого правила, как и в первом случае, выбираем dst-nat для поля Action, а в появившихся с низу полях To Address и To Ports — локальный адрес нашего компьютера 192. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Настройка firewall Mikrotik

  • Шлюз: 192.168.8.1.
  • Действие: accept.
  • NAT (правило должно быть установлено ранее правила masquerade).
  • Цепочка: dstnat.
  • Протокол: 6 (tcp) (по умолчанию).
  • Порт назначения: 3389 (номер порта, на который переадресовывается пробрасываемый порт в Интернете).
  • Исходящий тип интерфейса: pppoe-out.
  • Действие: dst-nat.
  • Переадресация на: 192.168.0.232.

Проброс портов «Микротик» из интернета в локалку: переадресация для нескольких провайдеров

Предположим, что подключение осуществляют несколько провайдеров, и пользователь в какой-то момент хочет выбрать, чьими услугами воспользоваться или распределить их на разные машины. В роутерах «Микротик» два провайдера проброс портов поддерживают без проблем.

проброс портов микротик для видеорегистратора

В этом случае при выборе действия устанавливается режим dst-nat, а в поле To Address (например, для ByFly) используется адрес 10.24.3.2 (TCP 55555). Пункт To Ports можно не трогать.

Далее вызывается командная консоль от имени администратора, в которой прописывается следующее:

Понравилось? Поделись с друзьями:
Оставить отзыв

Публикуя свою персональную информацию в открытом доступе на нашем сайте вы, даете согласие на обработку персональных данных и самостоятельно несете ответственность за содержание высказываний, мнений и предоставляемых данных. Мы никак не используем, не продаем и не передаем ваши данные третьим лицам.

Контакты · Политика конфиденциальности · О проекте · Популярные разделы по сайта · Реклама · Согласие на обработку персональных данных · Пользовательское соглашение