Почему не работают проброс портов 80 и 443 на mikrotik?

Добрый день. Помогите разобраться с задачкой.
Есть вэб-сервер в локальной сети с портом 80.
Делаю на него проброс извне
add action=netmap chain=dstnat dst-port=8019 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80

И всё работает. Извне по порту 8019 попадаю на сервер.
Меняю только внешний порт на 80 и больше ничего не трогаю
add action=netmap chain=dstnat dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80

И по порту 80 извне уже не пускает. Ну значит провайдер блочит порты предположил я. Но если включить логирование правила, то вижу такое:
627e1afe14eb3630281600.png
Пакеты до микрота доходят по порту 80. Таки в его настройках что-то?
Ровно такая же история и с портом 443.
Сервисы на портах 80 и 443 отключены.
627e1bec7d0d0944026201.png
Настройки firewall:
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=pppoe-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1
  • Вопрос задан
  • 3320 просмотров
Пригласить эксперта
Ответы на вопрос 3
@smesh
В правилах фаерволла эти порты не участвуют цепочках "Forward"?
И поменяйте netmap на dstnat.
Ответ написан
jamakasi666
@jamakasi666
Просто IT'шник.
В цепочку forward добавьте правило с разрешением 80 порта из pppoe.
Ответ написан
@Ragnar1
Linux teacher for beginners.
Никогда не используйте netmap для проброса портов. Указываете chain=dst-nat action=dst-nat и всё заработает.
Почему не работает сейчас: последнее правило в forward "
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1
" то есть вы пытаетесь получить доступ к хосту в вашей локальной сети, но это правило отбрасывает весь трафик инициализированный из вне.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы