Проброс Портов на Микротик Для Ftp • Настройка nat в микротик

Инструменты-помощники системного администратора: 💫 💫 читайте на сайте

Для осуществления этих действий, мы будем использовать фирменную утилиту Winbox. Подключаемся к маршрутизатору и переходим в раздел IP -> Firewall. Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем. В результати, у нас должно появиться еще одно правило на вкладке NAT и теперь, все запросы пришедшие на внешний IP адрес порт 80, допустим 211.

Базовая настройка фаервола в Микротик

Сегодня хочу поподробнее раскрыть тему защиты роутеров популярной латвийской марки. Речь пойдет о базовой настройке Firewall в Mikrotik для обеспечения безопасности и удобства. Статья на эту тему была написана уже давно, но я решил ее полностью переделать и актуализировать.

Долгое время у меня была опубликована статья про простую настройку файрвола на микротик. Там были перечислены базовые правила для ограничения доступа к роутеру, и тем не менее, статья собрала более 200 тыс. просмотров.

Итак, будем считать, что вы уже настроили роутер примерно так же, как я описал в своей статье. Есть локальная сеть, которая будет выходить в интернет через микротик. И есть сам микротик, который хочется защитить, ограничив доступ для всего лишнего, разрешив только то, что нам нужно.

192.168.88.1 локальный адрес микротика
bridge название бриджа, в который объединены все интерфейсы для локальной сети
ether1 интерфейс для внешнего подключения WAN
192.168.88.0/24 локальная сеть, которую обслуживает микротик

 mikrotik-firewall-01-7949126

Проброс портов и Hairpin NAT в роутерах Mikrotik
Похожая ситуация и с перебросом портов, для приложений. Допустим на вашем персональном компьютере, который имеет локальный IP адрес 192.168.0.5, установлено приложение, требующее соединения по порту 12400 для протокола TCP и соединения по порту 12500 для протокола UDP.
Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Мнение эксперта
Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!
Задать вопрос эксперту
Для второго порта и протокола UDP, создаем похожее правило, только в качестве значения для поля Protocol на вкладке General, мы выбираем udp, в а поле Dst. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Базовая настройка фаервола в Микротик — Для системного администратора — Для системного администратора

Default firewall в Mikrotik

Если вы используете дефолтную конфигурацию роутера, то она по-умолчанию имеет стандартные правила firewall. Привожу список стандартных правил (rules) с комментариями. Напоминаю, что экспорт правил firewall в mikrotik можно выполнить следующей командой:

В принципе, по приведенным комментариям примерно понятно, что тут происходит. Дропаются все входящие и транзитные соединения не из локальной сети, разрешен пинг — icmp, разрешен ipsec, разрешены установленные соединения. Все. Ну и настроен NAT через WAN интерфейс.

Во многих случаях данных правил по-умолчанию может быть достаточно обычному пользователю, который просто настроил маршрутизатор дома для выхода в интернет. Берите на вооружение, если вам от маршрутизатора больше ничего не надо.

 mikrotik-firewall-02-6924983

Предположим, что у нас в сети есть web-server, его IP адрес — 192.168.0.2 и нам надо, чтобы все обращения на наш внешний адрес и порт 80, были направлены на этот сервер, с таким же портом. Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем. В результати, у нас должно появиться еще одно правило на вкладке NAT и теперь, все запросы пришедшие на внешний IP адрес порт 80, допустим 211.

Проброс группы портов если есть статический IP

Этот же способ называется Hairpin Nat на MikroTik.

Если у провайдера выкуплен внешний статический IP правило лучше видоизменить:

Проброс Портов на Микротик Для Ftp • Настройка nat в микротик

Это позволит открывать изнутри сети ресурсы сервера по внешнему IP. Очень полезно для настройки на переносных устройствах которые могут подключаться к серверу как из других сетей так и по Wi-Fi. В данном случае рассмотрен проброс нескольких портов одним правилом: TCP 55555, 80, 21. 86.57.150.15 — внешний IP.

Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Мнение эксперта
Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!
Задать вопрос эксперту
Для второго порта и протокола UDP, создаем похожее правило, только в качестве значения для поля Protocol на вкладке General, мы выбираем udp, в а поле Dst. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Расширенные настройки Mikrotik RouterOS: перенаправление портов — dstnat

Публикация сервера на 2-ух внешних IP

Для начала следует прописать на сервере второй IP адресс из другой подсети на сетевом интерфейсе:

Проброс Портов на Микротик Для Ftp • Настройка nat в микротик

Идём в IP adresses и добавляем на сетевом интерфейсе ip 10.24.4.1/24 через который будет идти взаимодействие маршрутизатора с сервером:

Сделаем маршрут для второго провайдера с меткой route-1 для этого идём в IP/Route:

Создадим правило согласно которому сеть 10.24.4.0/24 роутится через второго провайдера:

К основному пробросу портов надо добавить проброс порта через второго провайдера:

Необходимо сделать также masquerade при обращении к 10.24.4.2 для того чтобы подключение ко второму IP WINDOWS работало:

Этой командой мы создаём правило на входящие соединение через TCP-порт 443 на IP-адрес 192.168.1.10.
Второе правило: То есть если Вы делали проброс портов на Микротике для видеонаблюдения, то видеорегистратор должен быть включен и подключен к роутеру. Чтобы пробросить порт на Mikrotik для видеорегистратора, RDP, VPN или иного сервиса, нужно в меню веб-интерфейса или через WinBox открыть раздел IP- Firewall.

Hairpin NAT

Проброс портов и Hairpin NAT в роутерах Mikrotik

Почему так происходит? Давайте рассмотрим еще одну схему:

Что же делать? Очевидно, что нужно каким-то образом заставить веб-сервер отвечать не напрямую клиенту, а пересылать пакет обратно маршрутизатору. Здесь нам на помощь придет действие src-nat (SNAT), которое позволяет изменить адрес отправителя, находящееся в цепочке POSTROUTING. В терминах Mikrotik данная настройка носит наименование Hairpin NAT.

Чтобы понять, как это работает мы подготовили следующую схему:

Обратите внимание, что в качестве адреса и порта назначения мы указываем внутренние адрес и порт, так как пакет уже прошел цепочку PREROUTING, где данные получателя были изменены. К сожалению, не все это понимают, во многих инструкциях в сети в данном правиле фигурирует внешний адрес, стоит ли говорить, что такое правило работать не будет.

Через терминал данное правило можно создать следующим образом:

В нашем случае все адреса статические, поэтому использование src-nat здесь будет более уместно.

Если вы нигде не допустили ошибок — все будет работать, как и предполагалось.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Мнение эксперта
Чоповец Владимир Петрович, специалист по ремонту ноутбуков
Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!
Задать вопрос эксперту
Ниже приведены скриншоты winbox и дано подробное описание всех параметров NAT, необходимых для настройки проброса порта в Mikrotik. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Проброс портов в Микротике | 13g

Понравилось? Поделись с друзьями:
Оставить отзыв

Публикуя свою персональную информацию в открытом доступе на нашем сайте вы, даете согласие на обработку персональных данных и самостоятельно несете ответственность за содержание высказываний, мнений и предоставляемых данных. Мы никак не используем, не продаем и не передаем ваши данные третьим лицам.

Контакты · Политика конфиденциальности · О проекте · Популярные разделы по сайта · Реклама · Согласие на обработку персональных данных · Пользовательское соглашение