Проброс портов на маршрутизаторах MikroTik. Как прокинуть порты на роутере mikrotik


Для начинающих:Проброс портов — MikroTik WiKi rus

Что это?

Проброс портов это технология, позволяющая получать доступ к устройствам в локальной сети из-вне. Это происходит за счет правила, которое работает по условию: если пришел запрос на порт Х (входящий порт), то надо перенаправить трафик на порт Y (исходящий порт) устройства с IP-адресом Z. При этом входящий порт (X) и исходящий порт (Y) могут, как быть одинаковыми, так и различаться.

Icon-note.png

Примечание: Подробно проброс портов и другие темы рассматриваются в видеокурсе "Настройка оборудования MIkroTik". Курс содержит в себе все темы официальной программы MikroTik MTCNA.

Для чего нужно?

Проброс портов используется, если надо получить доступ из-вне к терминальному или веб-серверу внутри организации, если используются пиринговые сети. Многопользовательские игры то же иногда используют эту технологию.

Настройка

Для примера мы пробросим 80 порт, он обычно нужен если вы решили разместить у себя в локальной сети веб-сервер с вашим веб-проектом.

Схема проброса порта в MikroTik

В нашем примере: внешний порт маршрутизатора (ether5-WAN1) с адресом 10.1.100.1, внутренний адрес компьютера на котором веб-сервер 192.168.15.15.

Через графический интерфейс

Для того, чтобы пробросить порты надо в меню выбрать IP => Firewall и далее вкладку «NAT». Нажать значок + для добавления нового правила. Далее необходимо выполнить следующие настройки:

  1. Chain: dstnat
  2. Protocol: указать протокол 6 (tcp)
  3. Dst. Port: указать порт входящего соединения.
  4. In. Interface: выбрать интерфейс входящего соединения
Icon-note.png

Примечание:

Важно указывать входящий интерфейс, так как в противном случае маршрутизатор может перенаправить трафик с другого интерфейса по создаваемому нами правилу и это может привести к проблемам. Если в приведенном нами примере не указать входящий интерфейс, то в случае попытки из локальной сети открыть сайт по http:// маршрутизатор перенаправит поток на внутренний сервер с адресом 192.168.15.15.Так же обратите внимание что для других задач, нужно будет указывать другой протокол (к примеру udp) - поэтому вы должны выяснить какие порты и с какими протоколами требуют проброса для вашей задачи (приложения).

Настройка проброса порта через графический интерфейс в МикроТик, 1

  1. Action: dst-nat
  2. To Addresses: указать адрес на который надо выполнить проброс
  3. To Ports: указать порт на который надо выполнить проброс

Настройка проброса порта через графический интерфейс в МикроТик, 2

Через консоль

/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether5-WAN1 protocol=tcp to-addresses=192.168.15.15 to-ports=80

Если в качестве входящего порта надо использовать порт, отличный от оригинального. Например, из-вне надо получить доступ по порту 8080, а веб-сервер при этом работает по 80-му порту, то надо соответствующим образом изменить параметр "Destination Port". Dst. Port: в графическом интерфейсе или dst-port в консоли.

Проверка

Воспользуйтесь многочисленными веб сервисами проверки, например этим.

Icon-note.png

Примечание:

Программа, которая должна отвечать по запрашиваемому порту должна быть активна, чтобы при проверке порт виделся как "открытый".Например, порт для веб-сервера на самом деле открыт, но если веб-сервер не запущен, статус порта при проверке будет "закрыт".

Связанные материалы

mikrotik.vetriks.ru

Как настроить проброс портов на роутерах MikroTik — asp24.ru

 

Необходимость настройки проброса портов (Port Forwarding) на роутерах MikroTik встречается довольно часто. Но даже для опытного администратора конфигурирование микротиковских маршрутизаторов может показаться сложным, тем более для обычного пользователя. Хотя как раз за широкие функциональные возможности, наряду со стабильностью и надежностью работы, эти устройства и ценятся.

В сегодняшней статье мы постараемся дать как можно более понятную инструкцию по настройке проброса портов на примере роутера MikroTik RB951-2n (изображен на картинке выше).

Для чего нужен проброс портов?

Для чего вообще вам может понадобиться такая настройка? Чаще всего Port Forwarding используется для:

  • организации игрового сервера на домашнем компьютере,
  • организации пиринговых (одноранговых) сетей,
  • для доступа к IP-камере из интернета,
  • корректной работы торрентов,
  • работы WEB и FTP-серверов.

Почему возникает необходимость в пробросе портов? Дело в том, что по умолчанию в роутерах работает правило так называемого маскарадинга. IP-адреса компьютеров и других устройств из локальной сети не видны ЗА роутером, во внешней сети. При поступлении пакетов данных из внутренней сети для отправки во внешний мир роутер открывает определенный порт и подменяет внутренний IP устройства на свой внешний адрес - надевает "маску", а при получении ответных данных на этот порт - отправляет их на тот компьютер внутри сети, для которого они предназначаются. 

Таким образом, все получатели данных из внешней сети видят в сети только роутер и обращаются к его IP-адресу. Компьютеры, планшеты и другие устройства в локальной сети остаются невидимыми.

Эта схема имеет одну особенность: роутер принимает только те пакеты данных, которые приходят по соединению, инициированному компьютером из внутренней сети. Если компьютер или сервер из внешней сети пытается установить соединение первым, роутер его сбрасывает. А для указанных выше пунктов (игровой сервер, пиринговые сети и т. п.) такое соединение должно быть разрешено. Вот для этого и применяется проброс портов. Фактически, это команда роутеру зарезервировать один порт и все данные извне, которые на него поступают, передавать на определенный компьютер. Т. е. сделать исключение из маскарадинга, прописав новое правило.

Настройка Port Forwarding в MikroTik

В MikroTik управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.

По умолчанию здесь прописан тот самый маскарадинг - подмена внутренних локальных адресов внешним адресом сервера. Мы же здесь создадим дополнительное правило проброса портов.

Настройка вкладки General

Нажимаем плюсик и в появившемся окне заполняем несколько полей:

  • Chain - направление потока данных. В списке выбора - srcnat, что означает "изнутри наружу", т. е. из локальной сети во внешний мир, и dstnat - из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
  • Src. Address Dst. Address - внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
  • Protocol - здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
  • Src. Port (исходящий порт) - порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно.
  • Dst. Port (порт назначения) - проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.
  • Any. Port (любой порт) - если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
  • In. interface (входящий интерфейс) - здесь указываем интерфейс роутера MikroTik, на котором используется, "слушается" этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, по умолчанию это ether1-gateway. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
  • Out. interface (исходящий интерфейс) - интерфейс подключения компьютера, для которого мы делаем проброс портов.

Настройка вкладки Action

В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:

  • accept — просто принимает данные;
  • add-dst-to-address-list — адрес назначения добавляется в список адресов;
  • add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
  • dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
  • jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat;
  • log — просто записывает информацию о данных в лог;
  • masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
  • netmap — более новая вариация dst-nat;
  • passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
  • redirect — данные перенаправляются на другой порт этого же роутера;
  • return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
  • same — редко используемая настройка один и тех же правил для группы адресов;
  • src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).

Для наших настроек подойдут варианты dst-nat и netmap. Выбираем последний, как более новый и улучшенный.

В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов.

В поле To Ports, соответственно, номер порта, к примеру:

  • 80/tcp — WEB сервер,
  • 22/tcp — SSH,
  • 1433/tcp — MS SQL Server,
  • 161/udp — snmp,
  • 23/tcp — telnet и так далее.

Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.

Далее добавляем комментарий к правилу, чтобы помнить, для чего мы его создавали.

Таким образом, мы создали правило для проброса портов и доступа к внутреннему компьютеру (в локальной сети) из Интернет.

©  LanTorg

asp24.ru

Настройка NAT переадресации портов в практических целях. Часть 3.

Все Вы встречались с необходимостью переадресации портов с внешнего айпишника на адреса внутренней (локальной) сети. Я расскажу как просто это делается на Mikrotik. Во-первых, не забываем одну простую и понятную вещь – локальные ip-шники на которые переадресуем порты из вне, должны использовать микротик в качестве шлюза, если этого не сделано то ничего не получиться. В случае если Вы настроили DHCP в локальной сети и машины получили ip адреса розданные Mikrotik’ом то понимаем, что они уже указали в качестве шлюза адрес микротика.

Итак, заходим в Winbox и далее в IP -> Firewall :

1

Далее заходим в вкладку NAT, где у нас ранее настроенный NAT для локальных айпишников, чтобы те могли ходить в инет без прокси (условно):

2

 

Нажимаем на красную кнопку плюс, создаем новое правило:

3

Объясню что где указано – Chain -> dstnat – нат назначения, то есть куда назначается направление пакета

Protocol: в моем случае tcp, можете указать другой, из популярных выборов – udp либо tcp

Dst Port – порт на который стучится соединение, пусть в моем случае будет порт по-умолчанию ip телефонии 5060

In. Interface – в моем случае внешний интерфейс, который поднимает соединение pppoe – называется он pppoe-out1

То есть исходя из этих правил – у нас есть необходимость перекинуть внешний порт 5060 tcp на который стучаться «из вне» (то есть в данном случае с инета) . Далее укажем куда нам перекидывать эти соединения, для этого переходим в вкладку Action:

4

И указываем Action: dst-nat и в поле To Addresses указываем адрес к примеру 192.168.2.2, где у нас условно находиться сервер ip телефонии, так же указываем порт 5060 на который у нас переадресовывается соединение.

Так же, я вношу комментарии дабы потом и я и другой админ быстро смог найти необходимое соединение (условно в случае если нужно перекинуть соединение на другой ip адрес), для этого нажимаем на кнопку Comment:

5

И указываем комментарий, в нашем случае пусть будет так:

6

В итоге получиться вот такая красота с комментарием:

7

Ну и в дополнении. Иной раз наступает необходимость поработать дома, для этого, на рабочем компьютере у меня стоит VNC сервер к которому я легко могу подключиться из вне лишь прописав редирект с микротика. Внешний порт в целях безопасности я указываю какой-нибудь крайне левый (условно 40323) , ну а в редиректе во внутреннюю сеть указываю порт на котором у меня висит VNC сервер. Тоже самое я делаю если мне необходимо настроить и линуксовый сервер через SSH , таким же способом делаю редирект на него и спокойно с домашнего компа делаю необходимые изменения.

В целях большей необходимости/безопасности, тут же можно настроить и список ip адресов с которых разрешен доступ к внешним портам.

К примеру, у Вашей фирмы 10 филиалов, которые используют какой-то сервис куда не хотелось чтобы посторонний глаз имел какой-то доступ. Безусловно, если это HTTP сервер то Вы можете прописать список адресов в настройках веб-сервера, но, по мне куда более безопасней прописать эти адреса на микротике в один лист и использовать на все сервисы (XMPP сервер к примеру, корпоративный портал, терминальный сервер). Для переходим в Address Lists (там же):

8

И добавляем новую запись, нажатием кнопки плюс:

9

Тут же задаем имя нашего списка, в моем случае пусть будет external_access (пишем вручную), далее Address – адрес нашего филиала, либо Ваш айпи адрес для дальнейшего доступа к сервисам.

После этого, переходим к созданному нами редиректу, в вкладку Advanced:

10

Где в Src.Address List указываем название созданного нами списка, нажимаем кнопку Apply и все, теперь мы знаем что если будет иной ip адрес – его просто не пустит к этому порту.

comments powered by HyperComments

complike.ru

Проброс портов на маршрутизаторах MikroTik

Весьма часто появляется нужда в настройке проброса портов, так называемого Port Forwarding, на маршрутизаторах производства MikroTik. Нередко и опытный администратор стыкается со сложностями в конфигурировании роутеров МикроТик, не говоря об обычных пользователях. Хотя за счет присутствия большого количества функций роутеры этого производителя ценятся всеми и, конечно же, за стабильность и надежность.

В данной статье мы поможем и продемонстрируем инструкцию по тому, как производить проброс портов. Примером станет роутер MikroTik RB951-2n или новый Mikrotik hAP (RB951Ui-2ND) 

С какой целью делают проброс портов?

Если Вы спросите, зачем нужен Port Forwarding, то ответов несколько. Ведь эта процедура нужна для:

  • создания игровых серверов на домашних ПК;
  • развертывания пиринговых, то есть одноранговых сетей;
  • чтобы получить доступ к IP-камере из Internet;
  • нормального функционирования торрентов;
  • функционирования WEB и FTP-серверов.

Почему возникает нужда в пробросе портов? Вся суть в том, что по умолчанию в маршрутизаторах работает правило маскарадинга. То есть, IP-адреса компьютеров и любых других устройств в локальной сети не видны за маршрутизатором внешней сети. Когда поступают пакеты данных из внутренней сети, которые нужно отправить во внешний мир, маршрутизатор открывает нужный порт и производит замену внутреннего IP устройства на собственный внешний адрес, как бы надевает «маску». Во время получения ответных данных на тот же порт, просто отправляет эти данные на предназначенный компьютер внутри сети.

Получается, что все получатели информации из внешней сети могут увидеть в сети только непосредственно маршрутизатор и обращаются к назначенному ему IP-адресу. Сами компьютеры, различные планшеты и прочие устройства в локальной сети для них невидимы.

Представленная схема отличается одной особенностью – маршрутизатор принимает лишь те пакеты, что приходят по соединению, которое было инициировано компьютером из внутренней сети. Когда компьютер или же сервер из внешней сети желает соединиться первым, роутер его сразу же сбрасывает. В перечисленных нами выше пунктах (игровые сервера, пиринговая сеть и т.д) соединение такого типа должно быть дозволено. С этой целью и делают проброс портов. В принципе, это является командой маршрутизатору зарезервировать нужный порт и все данные, приходящие извне на него, должны передаваться на соответствующий компьютер.(+р) По факту, создается исключение из маскарадинга, по принципу прописывания нового правила.

Настройка проброса портов в MikroTik

В рассматриваемом нами роутере настройка проброса портов находится по вкладке IP =>Firewall =>NAT.

Вы увидите, что по умолчанию в этом месте прописан маскарадинг, то есть осуществляется подмена внутреннего локального адреса внешним адресом самого сервера. Поэтому нужно создать нужное правило проброса портов.

Настройка вкладки меню General

Кликаем на плюсик и в окне, что откроется, необходимо заполнить ряд полей:

● Chain – это направление потока информации. Среди выбора srcnat (изнутри наружу), означает из локальной сети во внешнюю, а dstnat означает из внешней во внутреннюю. Необходимо выбрать dstnat, ведь нужно принимать именно входящие подключения.

● Src. Address Dst. Address – это внешний адрес. С него будет инициировано подключение. Адрес назначения (адрес маршрутизатора). Ничего не заполняем.

● Protocol. Тут обязательно нужно указать вид протокола для существующего соединения – udp или tcp.

● Src. Port – это исходящий порт. То есть порт удаленного компьютера. С него будут отправляться данные. Поле, если неважно, оставляем пустым.

● Dst. Port – это порт назначения. Необходимо проставить номер внешнего порта маршрутизатора, куда будут приходить данные от удаленного компьютера и перенаправляться на нужный компьютер нашей внутренней сети.

● Any. Port – это любой порт. В случае проставления в этом поле номера порта, мы указываем маршрутизатору, что данный порт будет использован как исходящий и входящий. Объединит оба предыдущие поля в одно.

● In. Interface – это входящий интерфейс. Тут указываем интерфейс маршрутизатора Микротик, на котором используется данный порт. В нашей ситуации, ведь мы производим проброс для получения информации извне, это интерфейс, при помощи которого роутер подсоединен к Internet. И по умолчанию ether1-gateway. Этот параметр заполняется обязательно. Ведь порт не будет доступен из локальной сети. В случаях подключения к провайдеру через привычный pppoe, может быть, будет необходимо указать его в отличии от WAN-интерфейса.

● Out. Interface – это исходящий интерфейс. То есть, тот интерфейс подсоединения компьютера для которого мы и производим проброс портов.

Настраиваем вкладку Action

В поле с названием Action необходимо прописать действие, которое будет выполняться роутером. Доступны следующие варианты:

● accept – по обычному принимаются данные;

● add-dst-to-address-list – назначаемый адрес для добавления в список присутствующих адресов;

● add-src-to-address-list – это исходящий адрес, что дописывается в соответствующий ему список адресов;

● dst-nat – перенаправит информацию из внешней сети в Вашу локальную, то есть во внутреннюю;

● jump – позволяет разрешить правило из прочего канала.  К примеру, при вписанном в поле Chain значении srcnat, чтобы применить нужное правило для dstnat;

● log для записывания информации о данных в лог;

● masquerade – это маскарадинг. Подменяет внутренний адрес компьютера или прочего устройства из внутренней локальной сети на главный адрес роутера;

● netmap. Создаст переадресацию одного набора адресов на прочий. Больше функций, чем у dst-nat;

● passthrough. Данный пункт настройки правил будет пропущен и произойдет переход сразу к последующему. Нужен для статистики;

● redirect. Информация перенаправляется на прочий порт нашего же маршрутизатора;

● return. При попадании в этот канал в соответствии с правилом jump произойдет наше возвращение обратно;

● same. Редко применяемая настройка одних и тех же правил для нужной группы адресов;

● src-nat. Производит переадресацию пакетов из локальной сети во внешнюю. Является обратным dst-nat перенаправлением.

В поле с названием To Adresses необходимо прописать внутренний IP-адрес нужного нам компьютера или же соответствующего устройства, куда будут перенаправлены данные по созданному правилу проброса портов.

В поле с названием To Ports прописываем номер порта. Для примера:

23/tcp — telnet,

22/tcp — SSH,

161/udp — snmp,

1433/tcp — MS SQL Server,

80/tcp — WEB сервер.

Когда значения в полях Dst. Port и To Ports совпадают, то тут можно его не указывать.Дальше необходимо добавить комментарий к правилу, дабы помнить с какой целью мы его создавали.

Вот так, мы с Вами создали правило для Port Forwarding и для доступа к нужному внутреннему компьютеру из Internet.В случаях, когда нужно заходить именно по внешнему IP-адресу из локальной сети, тогда настройте Hairpin NAT.(+р)

ntools.com.ua


Смотрите также