Почему не работают проброс портов 80 и 443 на mikrotik?

Question

[Олег Охотников]

Добрый день. Помогите разобраться с задачкой.
Есть вэб-сервер в локальной сети с портом 80.
Делаю на него проброс извне

add action=netmap chain=dstnat dst-port=8019 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80

И всё работает. Извне по порту 8019 попадаю на сервер.
Меняю только внешний порт на 80 и больше ничего не трогаю

add action=netmap chain=dstnat dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80

И по порту 80 извне уже не пускает. Ну значит провайдер блочит порты предположил я. Но если включить логирование правила, то вижу такое:

Пакеты до микрота доходят по порту 80. Таки в его настройках что-то?
Ровно такая же история и с портом 443.
Сервисы на портах 80 и 443 отключены.

Настройки firewall:

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=pppoe-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

Comments

[AlexVWill]

А web-сервер точно настроен на 80, 443? Что за сервер, апач?
cat /etc/apache2/ports.conf
netstat -tnlp
что выдает?

[Олег Охотников]

А web-сервер точно настроен на 80, 443?

Точно. Меняю только внешний порт с 80го на любой, а внутренний оставляю 80 и начинаю попадать на сервер. Ну и локально по 80у захожу.

[mrkotovsk1]

Олег Охотников, firewall на веб сервере 80-й порт пускает?

[Олег Охотников]

mrkotovsk1, на внешний 80 порт не пускает вне зависимости от того сделан ли проброс с него на вэб сервер внутри сети или нет проброса, но включен вэб-сервис самого микрота. В firewall нет запрещающих правил касаемо портов 80 и 443.

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=pppoe-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

[Сергей c0re]

на внешний 80 порт не пускает вне зависимости от того сделан ли проброс с него на вэб сервер внутри сети или нет проброса, но включен вэб-сервис самого микрота.

так если даже вебсервис микрота по 80-му порту не работает извне, то это сокрее всего провайдер блочит, вариантов больше нет, имхо.

PS: для вебсервиса микрота , писали правило в input ? и все равно не пускает?

[Олег Охотников]

Сергей c0re, тоже на провайдера грешу. Но в логах я вижу попытки подключиться на этот порт. Может обратный траффик провайдер банит. Как это проверить?

для вебсервиса микрота , писали правило в input ? и все равно не пускает?

Да, на него тоже не пускает с таким правилом

add action=accept chain=input dst-port=80 in-interface=pppoe-out1 log=yes protocol=tcp

[Сергей c0re]

Олег Охотников, проверить можно было бы включением сервиса http микротика, но вы говорите что на него тоже не пускает, может конечно там уже в правилах каша, не знаю, попробуйте сбросить микротик и загрузить дефолтный скрипт настройки после сброса (предлагается), настроить интернет подключение , разрешить инпут на 80й порт (если его нет), поместить это правило вверх, чтобы оно было выше правил с дропом

add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN

Answer 1

[smesh]

В правилах фаерволла эти порты не участвуют цепочках "Forward"?
И поменяйте netmap на dstnat.

Comments

[Олег Охотников]

В правилах фаерволла их нет.

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=pppoe-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

netmap на dstnat пробовал менять. Без результата.

[smesh]

Олег Охотников, Для теста сделайте правило в фаерволле:
ip firewall filter add chain=forward action=accept
И поместите его на самый верх списка.
Только потом отключите его, это только для теста.

[Drno]

Олег Охотников, fasstrack тоже уберите

[Олег Охотников]

smesh, Добавил
ip firewall filter add chain=forward action=accept
в самый верх. И убрал fasstrack.
Без изменений.

[Valentin Barbolin]

Олег Охотников, Показывай все правила firewall

[Олег Охотников]

Andrey Barbolin,

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=pppoe-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

[Valentin Barbolin]

Олег Охотников, Вот так ты пробовал? Микротик является GW для 10.110.210.252 ?

add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80 place-before=0
add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=443 place-before=0
add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=80 place-before=0
add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=10.110.210.252 to-ports=443 place-before=0
add action=accept chain=forward dst-address=10.110.210.252 in-interface=pppoe-out1 place-before=0

[Олег Охотников]

Andrey Barbolin, да, попробовал эти правила - без изменений. Но достаточно изменить dst-port=80 на dst-port=8001 и начинает работать. Микротик является GW для 10.110.210.252

Answer 2

[Дмитрий Александров]

В цепочку forward добавьте правило с разрешением 80 порта из pppoe.

Comments

[Олег Охотников]

Дмитрий Александров, добавил такое правило
add action=accept chain=forward dst-port=80 in-interface=pppoe-out1 protocol=tcp
Не помогло

Answer 3

[Ragnar Black]

Никогда не используйте netmap для проброса портов. Указываете chain=dst-nat action=dst-nat и всё заработает.
Почему не работает сейчас: последнее правило в forward "

add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

" то есть вы пытаетесь получить доступ к хосту в вашей локальной сети, но это правило отбрасывает весь трафик инициализированный из вне.

Comments

[Олег Охотников]

Ragnar Black, отключил это правило для теста - не помогло. А вот со включенным правилом, но внешним портом не 80, а к примеру 8019 работает проброс.

[ReyDonovan]

хватит писать глупости netmap отлично работает!
я вижу что человек подключается к провайдеру через PPoE
действия с данным подключение всегда делаются с итерфейс листами
далее создаем и добавляем в интерфейс лист фезический порт и PPoE подключение назовем WAN
и все четко работает
для примера настройки фаервола и пример моего проброса
еще момент не юзать маскарад при статическом ip тонна проблем описана на wiki

/ip firewall filter
add action=accept chain=input comment=established/related connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment=invalid connection-state=invalid in-interface-list=wan
add action=drop chain=forward connection-state=invalid in-interface-list=wan
add action=accept chain=input comment=icmp in-interface-list=wan packet-size=0-128 protocol=icmp
add action=accept chain=input comment=ip/tv in-interface=ether1 protocol=igmp
add action=accept chain=forward dst-port=5000 in-interface=ether1 protocol=udp
add action=accept chain=input comment="gw home" dst-port=7080 in-interface-list=wan protocol=tcp
add action=drop chain=input comment=drop in-interface-list=wan
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=wan
/ip firewall nat
add action=src-nat chain=srcnat out-interface-list=wan to-addresses=xxx.xxx.xxx.xxx (static ip)
add action=netmap chain=dstnat comment="HP RDP" dst-port=23389 in-interface-list=wan protocol=tcp to-addresses=172.16.10.100 to-ports=23389
add action=netmap chain=dstnat comment=web dst-port=80 in-interface-list=wan protocol=tcp to-addresses=172.16.10.104 to-ports=80
add action=netmap chain=dstnat dst-port=443 in-interface-list=wan protocol=tcp to-addresses=172.16.10.104 to-ports=443
add action=netmap chain=dstnat comment="wow server" dst-port=3724 in-interface-list=wan protocol=tcp to-addresses=172.16.10.102 to-ports=3724
add action=netmap chain=dstnat dst-port=8085 in-interface-list=wan protocol=tcp to-addresses=172.16.10.102 to-ports=8085
add action=netmap chain=dstnat comment=zabbix dst-port=8080 in-interface-list=wan protocol=tcp to-addresses=172.16.10.103 to-ports=8080

[Олег Охотников]

ReyDonovan, попробовал с интерфейс листом. Та же история. Если внешний 8019, работает. Если 80 - нет. С маскарадом не очень понимаю чем поможет. Другие порты кроме 80 и 443 нормально пробрасываются.