Задать вопрос
@RoffDaniel

Как пробросить порты на Микротике?

Добрый день, не получается додуматся, почему не получается открыть порт 27016, для игрового сервака SE. Когда проверяю статус порта через 2ip, пакеты на него приходят, то есть счетчик увеличивается, но порт правило не отвечаю источнику. Подскажите пожалуйста...

Вот конфиг:

chain=dstnat action=netmap to-addresses=10.0.10.10 to-ports=27016 protocol=tcp dst-address=193.25.***.*** dst port=27016 log=no log-prefix=""
  • Вопрос задан
  • 336 просмотров
Подписаться 1 Простой 6 комментариев
Пригласить эксперта
Ответы на вопрос 4
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
//COPY01 EXEC PGM=IEBGENER
а в цепочке filter трафик разрешен?
Ответ написан
Ziptar
@Ziptar
Дилетант широкого профиля
Исходя из конфига, на который дана ссылка в комментариях к посту, могу сказать следующее:
Переделывайте правила mangle. Они у нас просто напросто не работают. Вы пытаетесь ловить транзитный трафик на input цепочке - это бессмысленно. dst-nat трафик, если он не заворачивается на локальный айпишник микрота, в input цепочку не попадает. Это транзитный трафик, он у вас должен уйти на forward цепочку. При этом ловить вы его можете на форварде, но когда он уже пойдёт в обратную сторону, поскольку маршрут определяется сразу после prerouting цепочки, до попадания в forward или input. Ознакомьтесь с packet flow диаграмами, включая routing diagram и packet flow chains.
В итоге, по всей вероятности, микрот ответы от сервера попросту маршрутизирует не туда, куда вы ожидаете, согласно main routing table.
Ответ написан
Lopar
@Lopar
системный администратор
Почему вы используете маскарад, если у вас статические ip-адреса? src-nat ваш выход.
Почему вы используете netmap, когда он решает совершенно не эту задачу? dsn-nat ваш выход.
Почему нет правил forward?
В чём сакральный смысл выбрасывания каждого порта поштучно, если вы никак с этим не взаимодействуете — не ведёте логи, не собираете статистику...
Зачем вы открываете 80 порт на инпут со всего мира?
Зачем вы используете allow-remote-requests=yes, если не используете микротик как dns?
То есть, у вас там проблема, которую следует решать более комплексно.

[offtop]
p.s. Если делаете не совсем легальные штуки, зависая на соответствующих форумах — хотя бы не светите публике ваши айпишники. Гугл подсказывает, например, что вы Владимир Иванов откуда-то из под Киева. Даже фото есть, по которому социалки нагуглить можно. Извините, на карантине скучно. :)
[/offtop]
Ответ написан
msHack
@msHack
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
22 дек. 2024, в 13:01
50000 руб./за проект
22 дек. 2024, в 10:44
15000 руб./за проект
22 дек. 2024, в 10:12
10000 руб./за проект