Как прокинуть порт?

В настройке Микротика я совсем зелёный, просьба не судить строго. Мне необходимо прокинуть порт 3998(допустим). Обращение должно идти извне, порт открывается под удаленку.
Chain dsnat
Dst adress - указываю свой статический ИП адрес провайдера
Protocol tcp
Dst.Port 3998
In.Interface ether1
Action dst-nat
To Adresses указываю к какому ПК в LAN перенаправить подключение
To Ports 3998
Возможно я что то делаю не так? Либо есть какие то действия до прокидывания порта в NAT?
  • Вопрос задан
  • 1327 просмотров
Пригласить эксперта
Ответы на вопрос 9
skystart
@skystart
linux, сетевые сервисы
В forwarding-е разрешить трафик на этот хост, или вообще во внутреннюю сеть, плюс все established соединения.

В консоли
# это уже сделано:
/ip firewall nat
add action=dst-nat chain=dstnat comment=for_tcp_3998 dst-address=_white_ip_ dst-port=3998 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.0.x

# например, разрешим форвардинг просто в сторону сетки
# как один из вариантов
/ip firewall filter
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=forward in-interface=ether1-gateway out-interface=bridge-lan connection-state=new
add action=accept chain=forward in-interface=bridge-lan out-interface=ether1-gateway connection-state=new
### другие правила ###
add action=drop chain=forward log=yes log-prefix=DROP_FORWARD_
Ответ написан
@MechanID
Админ хостинг провайдера
чтобы работал проброс портов у вас еще должен быть маскарадинг
chain=srcnat action=masquerade out-interface=ether1
где ether1 это порт к провайдеру
а также этот микротик должен быть шлюзом для пк в lan
Ответ написан
@dimaaannn
В дополнение к другим ответам, постараюсь пояснить более просто.

Чтобы пробросит порт, его требуется прописать в 2х местах:
1. Filter rules - разрешаем форвард этого порта из внешки
2. Непосредственно проброс порта в NAT - dstnat на нужный ip
Ответ написан
Softer
@Softer
Стоит проверить цепочку forward, должно быть соответствующее разрешающее правило для "To Ports".
Если маршрут для конечного ПК будет не через указанный "статический ИП адрес провайдера" - нужно строить маршрутизацию от источника.
И на "том конце" естественно порт должны слушать :)
Ответ написан
Комментировать
@d-stream
Готовые решения - не подаю, но...
Угадаю: проверка открытости порта идет из этой же сети)

Тогда надо еще wiki.mikrotik.com/wiki/Hairpin_NAT
Ответ написан
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=dst-nat chain=dstnat dst-address=31.31.31.31 dst-port=3998 protocol=tcp to-addresses=192.168.1.3

если есть другие правила в файрволе, то для проверки их нужно отключить
Ответ написан
@sazhyk
Вставлю и я свои 5 копеек.
Вы тут так и не указали кое-какие входные данные.
  1. Работает ли ваше подключение рдп в локалке?
  2. Какой тип подключения к интернету?
  3. Статический IP от провайдера или нет?
Ответ написан
Комментировать
Для использования удалёнки используется порт по умолчанию 3389/TCP.
В вашем примере он отличается.
Вы его изменили вручную? Если нет, то вы не сможете подключиться.
Ответ написан
Комментировать
@sokolovsv
Пальцем в небо, уж больно порт похож:
Пробросить нужен для RDP, порт 3998 - чтоб враги не догадались?
В таком случае в стандартной ситуации в dst-nat порт надо стандартный для РДП 3389.
Про файервол вам уже сказали.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы