Как прокинуть порт на mikrotik только в случаи когда в запросе есть соответствующая строка?

Question

[Виталий]

Всем доброго!
Есть у меня за NATом сервер, и я хочу прокидывать на его порт (допустим 81 порт) только те запросы которие имеют в себе слово online
Допустим пробрасывать запрос severIP:81/online
Но другие запросы типу severIP:81/chekresult или другие блокировать(не пробрасывать)

Пытался через Layer 7 protocol с регуляркой ^.+(online).*$ с названием tst
и правилом в разделе NAT

/ip firewall nat
add action=dst-nat chain=dstnat comment="TMP-test" dst-address=My-external-ip dst-port=81 layer7-protocol=tst protocol=tcp to-addresses=10.10.10.141 to-ports=81

Но не работает :(

Comments

[Валентин]

Пытался через Layer 7 protocol с регуляркой ^.+(online).*$ с названием tst

L7 matcher collects the first 10 packets of a connection or the first 2KB of a connection and searches for the pattern in the collected data. If the pattern is not found in the collected data, the matcher stops inspecting further. Allocated memory is freed and the protocol is considered as unknown. You should take into account that a lot of connections will significantly increase memory and CPU usage. To avoid this, add regular firewall matchers to reduce amount of data passed to layer-7 filters repeatedly.

Вот и попробуйте на сервере снять дамп с помощью wireshark/tcpdump, чтобы посмотреть, что содержится в первых десяти пакетах.

Смотрите в сторону прокси.

Answer 1

[shurshur]

И не будет работать, так как URI передаётся только после установки соединения, на момент установки соединения ещё нельзя идентифицировать, куда перенаправить трафик. Для решения этой задачи надо использовать reverse proxy, в качестве которого популярно использовать nginx. Но так как тут не нужно раскидывать по нескольким разным серверам, то проще просто в целевом web-сервере отвергать запросы, не подходящие под условие. Если это почему-то невозможно (например, сервер является чужим приложением, в котором нельзя ничего изменить), то можно поставить nginx в разрез.

Answer 2

[rPman]

это бессмысленно, так как url скрыт от роутера шифрованием https

если все же надо для http то делай через прокси, при необходимости transparrent proxy (вроде бы когда то на микротике его запускали), трафик пропускай через свою прокси, которая будет уже по логике что хочешь делать, как подменять адрес подключения так и настраивать внешне перенаправления на роутере) но как это сделать именно на микротике не посоветую