Почему не работают проброс портов 80 и 443 на mikrotik?

Question

[Олег Охотников]

Добрый день. Помогите разобраться с задачкой.
Есть вэб-сервер в локальной сети с портом 80.
Делаю на него проброс извне

add action=netmap chain=dstnat dst-port=8019 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80

И всё работает. Извне по порту 8019 попадаю на сервер.
Меняю только внешний порт на 80 и больше ничего не трогаю

add action=netmap chain=dstnat dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80

И по порту 80 извне уже не пускает. Ну значит провайдер блочит порты предположил я. Но если включить логирование правила, то вижу такое:

Пакеты до микрота доходят по порту 80. Таки в его настройках что-то?
Ровно такая же история и с портом 443.
Сервисы на портах 80 и 443 отключены.

Настройки firewall:

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=pppoe-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

Comments

[AlexVWill]

А web-сервер точно настроен на 80, 443? Что за сервер, апач?
cat /etc/apache2/ports.conf
netstat -tnlp
что выдает?

[Олег Охотников]

А web-сервер точно настроен на 80, 443?

Точно. Меняю только внешний порт с 80го на любой, а внутренний оставляю 80 и начинаю попадать на сервер. Ну и локально по 80у захожу.

[mrkotovsk1]

Олег Охотников, firewall на веб сервере 80-й порт пускает?

[Олег Охотников]

mrkotovsk1, на внешний 80 порт не пускает вне зависимости от того сделан ли проброс с него на вэб сервер внутри сети или нет проброса, но включен вэб-сервис самого микрота. В firewall нет запрещающих правил касаемо портов 80 и 443.

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=pppoe-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

[Сергей c0re]

на внешний 80 порт не пускает вне зависимости от того сделан ли проброс с него на вэб сервер внутри сети или нет проброса, но включен вэб-сервис самого микрота.

так если даже вебсервис микрота по 80-му порту не работает извне, то это сокрее всего провайдер блочит, вариантов больше нет, имхо.

PS: для вебсервиса микрота , писали правило в input ? и все равно не пускает?

[Олег Охотников]

Сергей c0re, тоже на провайдера грешу. Но в логах я вижу попытки подключиться на этот порт. Может обратный траффик провайдер банит. Как это проверить?

для вебсервиса микрота , писали правило в input ? и все равно не пускает?

Да, на него тоже не пускает с таким правилом

add action=accept chain=input dst-port=80 in-interface=pppoe-out1 log=yes protocol=tcp

[Сергей c0re]

Олег Охотников, проверить можно было бы включением сервиса http микротика, но вы говорите что на него тоже не пускает, может конечно там уже в правилах каша, не знаю, попробуйте сбросить микротик и загрузить дефолтный скрипт настройки после сброса (предлагается), настроить интернет подключение , разрешить инпут на 80й порт (если его нет), поместить это правило вверх, чтобы оно было выше правил с дропом

add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN

Answer 1

[smesh]

В правилах фаерволла эти порты не участвуют цепочках "Forward"?
И поменяйте netmap на dstnat.

Comments

[Олег Охотников]

В правилах фаерволла их нет.

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=pppoe-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

netmap на dstnat пробовал менять. Без результата.

[smesh]

Олег Охотников, Для теста сделайте правило в фаерволле:
ip firewall filter add chain=forward action=accept
И поместите его на самый верх списка.
Только потом отключите его, это только для теста.

[Drno]

Олег Охотников, fasstrack тоже уберите

[Олег Охотников]

smesh, Добавил
ip firewall filter add chain=forward action=accept
в самый верх. И убрал fasstrack.
Без изменений.

[Valentin Barbolin]

Олег Охотников, Показывай все правила firewall

[Олег Охотников]

Andrey Barbolin,

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=pppoe-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

[Valentin Barbolin]

Олег Охотников, Вот так ты пробовал? Микротик является GW для 10.110.210.252 ?

add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80 place-before=0
add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=443 place-before=0
add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80 place-before=0
add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=443 place-before=0
add action=accept chain=forward dst-address=10.110.210.252 in-interface=pppoe-out1 place-before=0

[Олег Охотников]

Andrey Barbolin, да, попробовал эти правила - без изменений. Но достаточно изменить dst-port=80 на dst-port=8001 и начинает работать. Микротик является GW для 10.110.210.252

Answer 2

[Дмитрий Александров]

В цепочку forward добавьте правило с разрешением 80 порта из pppoe.

Comments

[Олег Охотников]

Дмитрий Александров, добавил такое правило
add action=accept chain=forward dst-port=80 in-interface=pppoe-out1 protocol=tcp
Не помогло

Answer 3

[Ragnar Black]

Никогда не используйте netmap для проброса портов. Указываете chain=dst-nat action=dst-nat и всё заработает.
Почему не работает сейчас: последнее правило в forward "

add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

" то есть вы пытаетесь получить доступ к хосту в вашей локальной сети, но это правило отбрасывает весь трафик инициализированный из вне.

Comments

[Олег Охотников]

Ragnar Black, отключил это правило для теста - не помогло. А вот со включенным правилом, но внешним портом не 80, а к примеру 8019 работает проброс.