Mikrotik Открыть Порт 3389 RDP (или аналоги)?

Question

[Karim kkk]

Добрый день!
имееются правила

spoiler

add action=masquerade chain=srcnat src-address=192.168.0.0/16

add action=dst-nat chain=dstnat comment=RDP dst-address=мой внешний IP \
dst-port=33389 log=yes protocol=tcp to-addresses=192.168.7.11 to-ports=3389

и белый IP.
Интернет работает нормально!
Но при попытке подключения по белому IP с портом 33389 счетчик пакетов отрабатывает, но соединение не проходит,

правило NAT находится выше всех.
при попытке подключиться выдает сообщение

apr/08 10:50:35 firewall,info dstnat: in:ether3 out:(unknown 0), src-mac 1c:7e:e5:88:6a:01, proto TCP (SYN), 31.13.145.56:7331->мой внешний IP:33389, len 60

вот не пойму, может обратное правило нужно!
шлюзом у машины выступает IP тика.

в правиле RDP ставил netmap тоже не получается....
PS - в этой же подсети имеется WiFi роутер, при подключении с мобильного по локальному IP (192.168.7.11:3389) все нормально подключает... но вот с внешки никак,
PPS - к этой машине подключал второй белый IP мимо тика, напрямую. ... отработало прекрасно!

Comments

[Gregory]

опасно так открывать доступ к rdp , спрячьте всё в vpn

[Karim kkk]

Gregory, это понятно! в данном случае интересен момент, почему не получается пробиться... Опять таки, платформа тестовая, хоть и люди сидят... Да и есть вариант закрыть RDP от брута блокированием IP. ну это все потом, первым делом самолеты.

Answer 1

[Denis Melnikov]

А вот это зачем ?
dst-address=мой внешний IP

Comments

[Karim kkk]

Ну даже убрав этот элемент все равно ошибка осталась!

[Denis Melnikov]

Привиду свои правила , работает на ура.

chain=srcnat action=masquerade out-interface=ether1 

chain=dstnat action=dst-nat to-addresses=192.168.1.6 to-ports=3389 protocol=tcp src-address-list=RDP in-interface=ether1 dst-port=44389

[Dmitry]

Могу предложить наличие запрещающих правил в firewall
Дайте вывод /ip firewall filter export compact

[Karim kkk]

Dmitry,

FIREWALL

/ip firewall filter
add action=reject chain=forward comment="\CC\C0\C3\C0\C7\C8\CD CHROME ADDON" content=chrome.google.com/webstore protocol=tcp reject-with=tcp-reset
add action=reject chain=forward comment="\CC\C0\C3\C0\C7\C8\CD MOZILLA ADDON" content=addons.mozilla.org protocol=tcp reject-with=tcp-reset
add action=jump chain=forward comment="SYN Flood protect" connection-state=new disabled=yes jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect comment=SYN connection-state=new disabled=yes limit=400,5:packet protocol=tcp tcp-flags=syn
add action=accept chain=forward disabled=yes dst-port=33389 in-interface=ether3 log=yes protocol=tcp
add action=accept chain=forward connection-state=established
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=forward connection-state=related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward comment="FACE accept \D0\C0\D3\C4\C8\CD" packet-mark=Facebook_packet src-address=192.168.7.53
add action=accept chain=forward comment="FACE accept ILYAS" packet-mark=Facebook_packet src-address=192.168.7.53
add action=drop chain=forward comment=facebook packet-mark=Facebook_packet
add action=drop chain=input packet-mark=Facebook_packet
add action=drop chain=forward comment=Tumbler packet-mark=timbler_packet
add action=drop chain=input packet-mark=timbler_packet
add action=drop chain=forward comment=Youtube disabled=yes packet-mark=youtub_packet
add action=drop chain=input disabled=yes packet-mark=youtub_packet
add action=accept chain=forward comment="OK accept \D0\C0\D3\C4\C8\CD" packet-mark=ok_packet src-address=192.168.7.53
add action=accept chain=forward comment="ok accept" disabled=yes packet-mark=ok_packet src-address=192.168.7.33
add action=drop chain=forward comment=ok packet-mark=ok_packet
add action=drop chain=input packet-mark=ok_packet
add action=drop chain=forward comment=twitter packet-mark=twitter_packet
add action=drop chain=input packet-mark=twitter_packet
add action=accept chain=forward comment="VK accept \D0\C0\D3\C4\C8\CD" packet-mark=VK_packet src-address=192.168.7.53
add action=drop chain=forward comment=vk.com disabled=yes packet-mark=VK_packet
add action=drop chain=input disabled=yes packet-mark=VK_packet
add action=accept chain=forward comment="IN accept \D0\C0\D3\C4\C8\CD" packet-mark=instagramm_packet src-address=192.168.7.53
add action=drop chain=forward comment=insta packet-mark=instagramm_packet
add action=drop chain=input packet-mark=instagramm_packet
add action=accept chain=input protocol=udp
add action=accept chain=forward protocol=udp
add action=accept chain=forward src-address=192.168.0.0/16
add action=accept chain=input src-address=192.168.0.0/16
add action=drop chain=input
add action=drop chain=forward
add action=accept chain=forward comment="Allow DNS requests" dst-port=53 protocol=tcp src-address=192.168.7.0/24
add action=accept chain=forward comment="Allow DNS requests" dst-port=53 protocol=udp src-address=192.168.7.0/24
add action=accept chain=forward src-address-list=iNET-ALLOWED
add action=drop chain=forward dst-port=53 protocol=tcp
add action=drop chain=forward dst-port=53 protocol=udp
add action=drop chain=forward

Платформа в разработке, по этому много ненужного наверняка есть!

К стати отключал ВСЕ запрещающие правила,... так же ничего

[Denis Melnikov]

Dmitry, nat Обрабатывается быстрее., чем FW

[Dmitry]

Denis Melnikov, после изменения dst-adress пакет, после принятия решения о маршрутизации, попадает в цепочку forward, где вполне может быть отброшен фильтром.

[Karim kkk]

Dmitry,
а что в этом случае делать ?
такое чувство, где то запятая не поставлена, и смеется надо мною :(

[Dmitry]

Karim kkk, dst-nat у вас настроен корректно, мне кажется проблема в фильтре, а именно в

add action=drop chain=forward

либо где-то в mangle, где маркируются лишние пакеты, а потом отбрасываются
так или иначе, попробуйте начать с отключения ВСЕХ правил в /ip firewall filter

[Karim kkk]

меня в заблуждение ввел коммент о том, что прописывая правила в NAT отдельно открывать порт не требуется! ... Хорошо попробую к выходным, или завтра рано утром начать с отключения всех правил!
Позже отпишусь!

[Karim kkk]

ничего не получилось
скидываю почти полный конфиг...

корявый конфиг

/interface list
add name=MAC-APPROWED
add name=INTERFACE-NEIGH
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip firewall layer7-protocol
add name=layer7-bittorrent-exp regexp="^(\\x13bittorrent protocol|azver\\x01\$\
|get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet\
/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/system logging action
set 3 remote=192.168.7.24
add name=WebProxyLog remote=192.168.7.70 target=remote
/user group
set read policy="local,telnet,ssh,read,test,winbox,password,web,sniff,sensitiv\
e,api,romon,tikapp,!ftp,!reboot,!write,!policy,!dude"
add action=drop chain=input comment="DUBLIKAT BLOCK ALL" in-bridge=BR_LOCAL \
mac-protocol=ip
/interface bridge port
add bridge=BR_LOCAL interface=ether1
/ip settings
set send-redirects=no
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=10.10.54.35/24 comment="\CE\D2\CA LAN" interface=ether6 network=\
10.10.54.0
add address=192.168.7.1/16 comment=LAN interface=ether1 network=192.168.0.0
add action=reject chain=forward comment="\CC\C0\C3\C0\C7\C8\CD CHROME ADDON" \
content=chrome.google.com/webstore protocol=tcp reject-with=tcp-reset
add action=reject chain=forward comment="\CC\C0\C3\C0\C7\C8\CD MOZILLA ADDON" \
content=addons.mozilla.org protocol=tcp reject-with=tcp-reset
add action=jump chain=forward comment="SYN Flood protect" connection-state=\
new disabled=yes jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect comment=SYN connection-state=new \
disabled=yes limit=400,5:packet protocol=tcp tcp-flags=syn
add action=accept chain=forward disabled=yes dst-port=33389 in-interface=\
ether3 log=yes protocol=tcp
add action=accept chain=forward connection-state=established
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=forward connection-state=related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward comment="FACE accept \D0\C0\D3\C4\C8\CD" \
packet-mark=Facebook_packet src-address=192.168.7.53
add action=accept chain=forward comment="FACE accept ILYAS" packet-mark=\
Facebook_packet src-address=192.168.7.53
add action=drop chain=forward comment=facebook packet-mark=Facebook_packet
add action=drop chain=input packet-mark=Facebook_packet
add action=drop chain=forward comment=Tumbler packet-mark=timbler_packet
add action=drop chain=input packet-mark=timbler_packet
add action=drop chain=forward comment=Youtube disabled=yes packet-mark=\
youtub_packet
add action=drop chain=input disabled=yes packet-mark=youtub_packet
add action=accept chain=forward comment="OK accept \D0\C0\D3\C4\C8\CD" \
packet-mark=ok_packet src-address=192.168.7.53
add action=accept chain=forward comment="ok accept" disabled=yes packet-mark=\
ok_packet src-address=192.168.7.33
add action=drop chain=forward comment=ok packet-mark=ok_packet
add action=drop chain=input packet-mark=ok_packet
add action=drop chain=forward comment=twitter packet-mark=twitter_packet
add action=drop chain=input packet-mark=twitter_packet
add action=accept chain=forward comment="VK accept \D0\C0\D3\C4\C8\CD" \
packet-mark=VK_packet src-address=192.168.7.53
add action=drop chain=forward comment=vk.com disabled=yes packet-mark=\
VK_packet
add action=drop chain=input disabled=yes packet-mark=VK_packet
add action=accept chain=forward comment="IN accept \D0\C0\D3\C4\C8\CD" \
packet-mark=instagramm_packet src-address=192.168.7.53
add action=drop chain=forward comment=insta packet-mark=instagramm_packet
add action=drop chain=input packet-mark=instagramm_packet
add action=accept chain=input protocol=udp
add action=accept chain=forward protocol=udp
add action=accept chain=forward src-address=192.168.0.0/16
add action=accept chain=input src-address=192.168.0.0/16
add action=drop chain=input
add action=drop chain=forward
add action=accept chain=forward comment="Allow DNS requests" dst-port=53 \
protocol=tcp src-address=192.168.7.0/24
add action=accept chain=forward comment="Allow DNS requests" dst-port=53 \
protocol=udp src-address=192.168.7.0/24
add action=accept chain=forward src-address-list=iNET-ALLOWED
add action=drop chain=forward dst-port=53 protocol=tcp
add action=drop chain=forward dst-port=53 protocol=udp
add action=drop chain=forward
/ip firewall mangle
add action=mark-connection chain=prerouting comment=FACE connection-mark=\
no-mark dst-port=53 layer7-protocol="Fa\F1ebook" new-connection-mark=\
Facebook_conn passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=Facebook_conn \
new-packet-mark=Facebook_packet passthrough=yes
add action=mark-connection chain=prerouting comment=you connection-mark=\
no-mark dst-port=53 layer7-protocol=youtube new-connection-mark=\
youtube_con passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=youtube_con \
new-packet-mark=youtub_packet passthrough=yes
add action=mark-connection chain=prerouting comment=ok.ru connection-mark=\
no-mark dst-port=53 layer7-protocol=ok.ru new-connection-mark=ok_con \
passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=ok_con \
new-packet-mark=ok_packet passthrough=yes
add action=mark-connection chain=prerouting comment=insta connection-mark=\
no-mark dst-port=53 layer7-protocol=instagramm new-connection-mark=\
instagramm_con passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=instagramm_con \
new-packet-mark=instagramm_packet passthrough=yes
add action=mark-connection chain=prerouting comment=tumbler connection-mark=\
no-mark dst-port=53 layer7-protocol=tumblr.com new-connection-mark=\
timbler_con passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=timbler_con \
new-packet-mark=timbler_packet passthrough=yes
add action=mark-connection chain=prerouting comment=twitter connection-mark=\
no-mark dst-port=53 layer7-protocol=twitter.com new-connection-mark=\
twitter_con passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=twitter_con \
new-packet-mark=twitter_packet passthrough=yes
add action=mark-connection chain=prerouting comment=vk.com connection-mark=\
no-mark dst-port=53 layer7-protocol=vk.com new-connection-mark=VK_con \
passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=VK_con \
new-packet-mark=VK_packet passthrough=yes
/ip firewall nat
add action=dst-nat chain=dstnat comment=REDIRECT disabled=yes protocol=tcp \
src-address=192.168.7.70 to-addresses=192.168.7.119
add action=dst-nat chain=dstnat comment="port to SYSLOG" dst-port=514 \
protocol=udp to-addresses=192.168.7.70 to-ports=514
add action=dst-nat chain=dstnat comment=RDP dst-address=@мой внешний IP@ \
dst-port=33389 log=yes protocol=tcp to-addresses=192.168.7.13 to-ports=80
add action=redirect chain=dstnat comment="REDIRECT to proxy" dst-port=80 \
protocol=tcp to-ports=8080
add action=masquerade chain=srcnat src-address=192.168.0.0/16
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=@шлюз провайдера@
add distance=1 dst-address=10.0.0.0/8 gateway=10.10.54.1
/ip service
set telnet address=192.168.0.0/16
set ftp disabled=yes
set www address=192.168.0.0/16 port=81
set ssh address=192.168.0.0/16
set api disabled=yes
set winbox address=192.168.0.0/16
set api-ssl disabled=yes
/ip traffic-flow
set cache-entries=512k enabled=yes
/ip traffic-flow target
add dst-address=192.168.7.72 port=9996 version=5

[Karim kkk]

Denis Melnikov, нет же (хотя может не правильно вопрос понял)
я хочу с мобилы подключаясь к определенному порту моего внешнего IP получить доступ к определенной машине в моей внутренней локальной сети!
Так как счетчик входящих пакетов отрабатывает, может быть надо "допинать" эти пакеты отдельным правилом до хоста? или ответы от хоста не пропускаются тиком обратно, и нужно отдельное правило формировать для отправки пакетов по SRCNAT.

[Dmitry]

Karim kkk, так а мобильны куда подключен?

[Karim kkk]

ну мобила комп не важно что, любой другой провайдер, в случае моего мобьильного это сотовый оператор билайн, и его интернет!

Answer 2

[Александр Карабанов]

Без дополнительных настроек из локальной сети нельзя подключится к устройству расположенному в этой же локальной сети по внешнему IP.

Что бы это заработало нужен Hirepin-Nat

Comments

[Karim kkk]

так я с WiFi подключаюсь к локальному IP а не внешке,! Это я проделал для проверки машины, отвечает ли она на RDP запросы.!

[Александр Карабанов]

Поэтому и работает.

Answer 3

[rionnagel]

А в правилах firewall -> filter rules вы разрешили транзитный трафик на нужный out. interface, на tcp 3398?

Comments

[Karim kkk]

если имеется в виду
add action=accept chain=forward disabled=yes dst-port=33389 in-interface=\
ether3 log=yes protocol=tcp
то сделано!
находится выше всех правил! отработано 0 пакетов. !
или я не о том ?

[rionnagel]

Karim kkk, Вот и ответ. Надо ИМЕННО 3389. разрешать форвард 33389 вам не надо.

[Karim kkk]

rionnagel, так , счетчик пошел, но линк все равно не подымается.. у меня на разных машинах есть RDP но ни одна не подрубается (для проверки прописывал пути к разным машинам) :( что за "тут много мата" ...

[rionnagel]

Ну че... показывайте правила фаервола, правила ната, если есть правила мангла. Телнетом залезьте снаружи на 33389, покажите там таймаут, ответ или еще что?

[Karim kkk]

rionnagel,

Конфиг

/interface list
add name=MAC-APPROWED
add name=INTERFACE-NEIGH
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip firewall layer7-protocol
add name=layer7-bittorrent-exp regexp="^(\\x13bittorrent protocol|azver\\x01\$\
|get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet\
/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/system logging action
set 3 remote=192.168.7.24
add name=WebProxyLog remote=192.168.7.70 target=remote
/user group
set read policy="local,telnet,ssh,read,test,winbox,password,web,sniff,sensitiv\
e,api,romon,tikapp,!ftp,!reboot,!write,!policy,!dude"
add action=drop chain=input comment="DUBLIKAT BLOCK ALL" in-bridge=BR_LOCAL \
mac-protocol=ip
/interface bridge port
add bridge=BR_LOCAL interface=ether1
/ip settings
set send-redirects=no
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=10.10.54.35/24 comment="\CE\D2\CA LAN" interface=ether6 network=\
10.10.54.0
add address=192.168.7.1/16 comment=LAN interface=ether1 network=192.168.0.0
add action=reject chain=forward comment="\CC\C0\C3\C0\C7\C8\CD CHROME ADDON" \
content=chrome.google.com/webstore protocol=tcp reject-with=tcp-reset
add action=reject chain=forward comment="\CC\C0\C3\C0\C7\C8\CD MOZILLA ADDON" \
content=addons.mozilla.org protocol=tcp reject-with=tcp-reset
add action=jump chain=forward comment="SYN Flood protect" connection-state=\
new disabled=yes jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect comment=SYN connection-state=new \
disabled=yes limit=400,5:packet protocol=tcp tcp-flags=syn
add action=accept chain=forward disabled=yes dst-port=33389 in-interface=\
ether3 log=yes protocol=tcp
add action=accept chain=forward connection-state=established
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=forward connection-state=related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward comment="FACE accept \D0\C0\D3\C4\C8\CD" \
packet-mark=Facebook_packet src-address=192.168.7.53
add action=accept chain=forward comment="FACE accept ILYAS" packet-mark=\
Facebook_packet src-address=192.168.7.53
add action=drop chain=forward comment=facebook packet-mark=Facebook_packet
add action=drop chain=input packet-mark=Facebook_packet
add action=drop chain=forward comment=Tumbler packet-mark=timbler_packet
add action=drop chain=input packet-mark=timbler_packet
add action=drop chain=forward comment=Youtube disabled=yes packet-mark=\
youtub_packet
add action=drop chain=input disabled=yes packet-mark=youtub_packet
add action=accept chain=forward comment="OK accept \D0\C0\D3\C4\C8\CD" \
packet-mark=ok_packet src-address=192.168.7.53
add action=accept chain=forward comment="ok accept" disabled=yes packet-mark=\
ok_packet src-address=192.168.7.33
add action=drop chain=forward comment=ok packet-mark=ok_packet
add action=drop chain=input packet-mark=ok_packet
add action=drop chain=forward comment=twitter packet-mark=twitter_packet
add action=drop chain=input packet-mark=twitter_packet
add action=accept chain=forward comment="VK accept \D0\C0\D3\C4\C8\CD" \
packet-mark=VK_packet src-address=192.168.7.53
add action=drop chain=forward comment=vk.com disabled=yes packet-mark=\
VK_packet
add action=drop chain=input disabled=yes packet-mark=VK_packet
add action=accept chain=forward comment="IN accept \D0\C0\D3\C4\C8\CD" \
packet-mark=instagramm_packet src-address=192.168.7.53
add action=drop chain=forward comment=insta packet-mark=instagramm_packet
add action=drop chain=input packet-mark=instagramm_packet
add action=accept chain=input protocol=udp
add action=accept chain=forward protocol=udp
add action=accept chain=forward src-address=192.168.0.0/16
add action=accept chain=input src-address=192.168.0.0/16
add action=drop chain=input
add action=drop chain=forward
add action=accept chain=forward comment="Allow DNS requests" dst-port=53 \
protocol=tcp src-address=192.168.7.0/24
add action=accept chain=forward comment="Allow DNS requests" dst-port=53 \
protocol=udp src-address=192.168.7.0/24
add action=accept chain=forward src-address-list=iNET-ALLOWED
add action=drop chain=forward dst-port=53 protocol=tcp
add action=drop chain=forward dst-port=53 protocol=udp
add action=drop chain=forward
/ip firewall mangle
add action=mark-connection chain=prerouting comment=FACE connection-mark=\
no-mark dst-port=53 layer7-protocol="Fa\F1ebook" new-connection-mark=\
Facebook_conn passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=Facebook_conn \
new-packet-mark=Facebook_packet passthrough=yes
add action=mark-connection chain=prerouting comment=you connection-mark=\
no-mark dst-port=53 layer7-protocol=youtube new-connection-mark=\
youtube_con passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=youtube_con \
new-packet-mark=youtub_packet passthrough=yes
add action=mark-connection chain=prerouting comment=ok.ru connection-mark=\
no-mark dst-port=53 layer7-protocol=ok.ru new-connection-mark=ok_con \
passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=ok_con \
new-packet-mark=ok_packet passthrough=yes
add action=mark-connection chain=prerouting comment=insta connection-mark=\
no-mark dst-port=53 layer7-protocol=instagramm new-connection-mark=\
instagramm_con passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=instagramm_con \
new-packet-mark=instagramm_packet passthrough=yes
add action=mark-connection chain=prerouting comment=tumbler connection-mark=\
no-mark dst-port=53 layer7-protocol=tumblr.com new-connection-mark=\
timbler_con passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=timbler_con \
new-packet-mark=timbler_packet passthrough=yes
add action=mark-connection chain=prerouting comment=twitter connection-mark=\
no-mark dst-port=53 layer7-protocol=twitter.com new-connection-mark=\
twitter_con passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=twitter_con \
new-packet-mark=twitter_packet passthrough=yes
add action=mark-connection chain=prerouting comment=vk.com connection-mark=\
no-mark dst-port=53 layer7-protocol=vk.com new-connection-mark=VK_con \
passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=VK_con \
new-packet-mark=VK_packet passthrough=yes
/ip firewall nat
add action=dst-nat chain=dstnat comment=REDIRECT disabled=yes protocol=tcp \
src-address=192.168.7.70 to-addresses=192.168.7.119
add action=dst-nat chain=dstnat comment="port to SYSLOG" dst-port=514 \
protocol=udp to-addresses=192.168.7.70 to-ports=514
add action=dst-nat chain=dstnat comment=RDP dst-address=@мой внешний IP@ \
dst-port=33389 log=yes protocol=tcp to-addresses=192.168.7.13 to-ports=80
add action=redirect chain=dstnat comment="REDIRECT to proxy" dst-port=80 \
protocol=tcp to-ports=8080
add action=masquerade chain=srcnat src-address=192.168.0.0/16
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=@шлюз провайдера@
add distance=1 dst-address=10.0.0.0/8 gateway=10.10.54.1
/ip service
set telnet address=192.168.0.0/16
set ftp disabled=yes
set www address=192.168.0.0/16 port=81
set ssh address=192.168.0.0/16
set api disabled=yes
set winbox address=192.168.0.0/16
set api-ssl disabled=yes
/ip traffic-flow
set cache-entries=512k enabled=yes
/ip traffic-flow target
add dst-address=192.168.7.72 port=9996 version=5

в другой ветке скидывал,

[Vladimir Zhurkin]

Karim kkk, я бы вам рекомендовал привести все правила в нормальный вид, а то у вас input в одном, потом forward все в кашу.



Например накой блокировать facebook в цепочки input ? Вы думаете, ваш роутер именно facebook,twitter, итд будет сканировать ? ну итд.

Answer 4

[Karim kkk]

В общем решение нашел! Если кому понадобится идем следующей последовательностью
1 - Mangle - маркируем пакет при обращении к порту,
2 - натируем по назначению,
3 - Filter - открываем порты , если были установлены правила ограничения на input или forward
фиг его знает почему простым DSTNAT не пробил!

Comments

[Дмитрий Трейсеров]

Можно чуть подробней?