Проброс Портов на Микротик Для Ftp • Настройка nat в микротик
Для осуществления этих действий, мы будем использовать фирменную утилиту Winbox. Подключаемся к маршрутизатору и переходим в раздел IP -> Firewall. Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем. В результати, у нас должно появиться еще одно правило на вкладке NAT и теперь, все запросы пришедшие на внешний IP адрес порт 80, допустим 211.
Базовая настройка фаервола в Микротик
Сегодня хочу поподробнее раскрыть тему защиты роутеров популярной латвийской марки. Речь пойдет о базовой настройке Firewall в Mikrotik для обеспечения безопасности и удобства. Статья на эту тему была написана уже давно, но я решил ее полностью переделать и актуализировать.
Долгое время у меня была опубликована статья про простую настройку файрвола на микротик. Там были перечислены базовые правила для ограничения доступа к роутеру, и тем не менее, статья собрала более 200 тыс. просмотров.
Итак, будем считать, что вы уже настроили роутер примерно так же, как я описал в своей статье. Есть локальная сеть, которая будет выходить в интернет через микротик. И есть сам микротик, который хочется защитить, ограничив доступ для всего лишнего, разрешив только то, что нам нужно.
192.168.88.1 | локальный адрес микротика |
bridge | название бриджа, в который объединены все интерфейсы для локальной сети |
ether1 | интерфейс для внешнего подключения WAN |
192.168.88.0/24 | локальная сеть, которую обслуживает микротик |
Базовая настройка фаервола в Микротик — Для системного администратора — Для системного администратора
Default firewall в Mikrotik
Если вы используете дефолтную конфигурацию роутера, то она по-умолчанию имеет стандартные правила firewall. Привожу список стандартных правил (rules) с комментариями. Напоминаю, что экспорт правил firewall в mikrotik можно выполнить следующей командой:
В принципе, по приведенным комментариям примерно понятно, что тут происходит. Дропаются все входящие и транзитные соединения не из локальной сети, разрешен пинг — icmp, разрешен ipsec, разрешены установленные соединения. Все. Ну и настроен NAT через WAN интерфейс.
Во многих случаях данных правил по-умолчанию может быть достаточно обычному пользователю, который просто настроил маршрутизатор дома для выхода в интернет. Берите на вооружение, если вам от маршрутизатора больше ничего не надо.
Предположим, что у нас в сети есть web-server, его IP адрес — 192.168.0.2 и нам надо, чтобы все обращения на наш внешний адрес и порт 80, были направлены на этот сервер, с таким же портом. Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем. В результати, у нас должно появиться еще одно правило на вкладке NAT и теперь, все запросы пришедшие на внешний IP адрес порт 80, допустим 211.
Проброс группы портов если есть статический IP
Этот же способ называется Hairpin Nat на MikroTik.
Если у провайдера выкуплен внешний статический IP правило лучше видоизменить:
Это позволит открывать изнутри сети ресурсы сервера по внешнему IP. Очень полезно для настройки на переносных устройствах которые могут подключаться к серверу как из других сетей так и по Wi-Fi. В данном случае рассмотрен проброс нескольких портов одним правилом: TCP 55555, 80, 21. 86.57.150.15 — внешний IP.
Расширенные настройки Mikrotik RouterOS: перенаправление портов — dstnat
Публикация сервера на 2-ух внешних IP
Для начала следует прописать на сервере второй IP адресс из другой подсети на сетевом интерфейсе:
Идём в IP adresses и добавляем на сетевом интерфейсе ip 10.24.4.1/24 через который будет идти взаимодействие маршрутизатора с сервером:
Сделаем маршрут для второго провайдера с меткой route-1 для этого идём в IP/Route:
Создадим правило согласно которому сеть 10.24.4.0/24 роутится через второго провайдера:
К основному пробросу портов надо добавить проброс порта через второго провайдера:
Необходимо сделать также masquerade при обращении к 10.24.4.2 для того чтобы подключение ко второму IP WINDOWS работало:
Этой командой мы создаём правило на входящие соединение через TCP-порт 443 на IP-адрес 192.168.1.10.
Второе правило: То есть если Вы делали проброс портов на Микротике для видеонаблюдения, то видеорегистратор должен быть включен и подключен к роутеру. Чтобы пробросить порт на Mikrotik для видеорегистратора, RDP, VPN или иного сервиса, нужно в меню веб-интерфейса или через WinBox открыть раздел IP- Firewall.
Hairpin NAT
Почему так происходит? Давайте рассмотрим еще одну схему:
Что же делать? Очевидно, что нужно каким-то образом заставить веб-сервер отвечать не напрямую клиенту, а пересылать пакет обратно маршрутизатору. Здесь нам на помощь придет действие src-nat (SNAT), которое позволяет изменить адрес отправителя, находящееся в цепочке POSTROUTING. В терминах Mikrotik данная настройка носит наименование Hairpin NAT.
Чтобы понять, как это работает мы подготовили следующую схему:
Обратите внимание, что в качестве адреса и порта назначения мы указываем внутренние адрес и порт, так как пакет уже прошел цепочку PREROUTING, где данные получателя были изменены. К сожалению, не все это понимают, во многих инструкциях в сети в данном правиле фигурирует внешний адрес, стоит ли говорить, что такое правило работать не будет.
Через терминал данное правило можно создать следующим образом:
В нашем случае все адреса статические, поэтому использование src-nat здесь будет более уместно.
Если вы нигде не допустили ошибок — все будет работать, как и предполагалось.
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Проброс портов в Микротике | 13g
Содержание
- 1 Базовая настройка фаервола в Микротик
- 1.1 Базовая настройка фаервола в Микротик — Для системного администратора — Для системного администратора
- 1.2 Default firewall в Mikrotik
- 1.3 Проброс группы портов если есть статический IP
- 1.4 Расширенные настройки Mikrotik RouterOS: перенаправление портов — dstnat
- 1.5 Публикация сервера на 2-ух внешних IP
- 1.6 Проброс портов в Микротике | 13g
Публикуя свою персональную информацию в открытом доступе на нашем сайте вы, даете согласие на обработку персональных данных и самостоятельно несете ответственность за содержание высказываний, мнений и предоставляемых данных. Мы никак не используем, не продаем и не передаем ваши данные третьим лицам.