Как пробросить порты на Микротике?

Question

[RoffDaniel]

Добрый день, не получается додуматся, почему не получается открыть порт 27016, для игрового сервака SE. Когда проверяю статус порта через 2ip, пакеты на него приходят, то есть счетчик увеличивается, но порт правило не отвечаю источнику. Подскажите пожалуйста...

Вот конфиг:

chain=dstnat action=netmap to-addresses=10.0.10.10 to-ports=27016 protocol=tcp dst-address=193.25.***.*** dst port=27016 log=no log-prefix=""

Comments

[be52]

ну откуда вы берете этот netmap, он же совсем для другого предназначен
action=dstnat должен быть

[RoffDaniel]

be52, да, вы правы. Но все же, это не изменило ситуацию

[Viktor]

меня больше другой вопрос интересуте
вы что пытаетсь наружу пробросить или все таки внутрь ?
смущает 193.25.***.***

[be52]

action=dst-nat chain=dstnat dst-address=31.*.*.* dst-port=443 protocol=tcp to-addresses=10.20.30.9 to-ports=443

вот так точно работает

[RoffDaniel]

Viktor, я пытаюсь наружу пробросить порт 27016. Указываю внешний IP за тем, потому что у меня их всего три

[Gregory]

чего три? весь конфиг покажите

Answer 1

[CityCat4]

а в цепочке filter трафик разрешен?

Comments

[RoffDaniel]

Я открывал другие порты: 80, 443, 1500, 25565 и т.п точно так же. Они работают, а этот почему-то. Сервер работает, то есть порт должен прослушиваться. Если важно, но сервер запускается на моем ПК на Windows

[admin@rd-router] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept protocol=icmp

1 chain=input action=accept connection-state=established

2 chain=input action=accept connection-state=related

3 chain=input action=drop in-interface-list=!LAN log=no log-prefix=""

4 chain=input action=accept protocol=tcp dst-port=80

[Ziptar]

RoffDaniel,
dst-nat правила обрабатываются в конце prerouting цепочки, дальше идёт определение маршрута, и, в зависимости от маршрута, трафик попадает в input или forward.
Таким образом в нормальной ситуации, как у вас, dst-nat надо разрешать на forward цепочке, а не на input.

[RoffDaniel]

Ziptar, получается мне второй правило нужно поменять на "forward"?

[Ziptar]

RoffDaniel, второе правило не имеет никакого отношения к обсждаемому вопросу.
..
Вы же не хотите сказать, что это полный список ваших правил /ip firewall, правда?

[RoffDaniel]

Ziptar, это весь список фильтров. В первом посту, в коментах, есть ссылка на конфиг

[Ziptar]

RoffDaniel, в таком случае у вас проходящийранзитом через роутер трафик ничего не блокирует. Совсем. Включая dst-nat'ed трафик.

[RoffDaniel]

Ziptar, странно тогда, почему этот порт не открывается?

[Ziptar]

RoffDaniel, смотрите ответ ниже; там подробнее

Answer 2

[Ziptar]

Исходя из конфига, на который дана ссылка в комментариях к посту, могу сказать следующее:
Переделывайте правила mangle. Они у нас просто напросто не работают. Вы пытаетесь ловить транзитный трафик на input цепочке - это бессмысленно. dst-nat трафик, если он не заворачивается на локальный айпишник микрота, в input цепочку не попадает. Это транзитный трафик, он у вас должен уйти на forward цепочку. При этом ловить вы его можете на форварде, но когда он уже пойдёт в обратную сторону, поскольку маршрут определяется сразу после prerouting цепочки, до попадания в forward или input. Ознакомьтесь с packet flow диаграмами, включая routing diagram и packet flow chains.
В итоге, по всей вероятности, микрот ответы от сервера попросту маршрутизирует не туда, куда вы ожидаете, согласно main routing table.

Comments

[Ziptar]

Да, и когда вы маркируете пакеты роутинг маркой - не надо там прописывать кучу мусора в условиях. new-connection-mark по заданным условиям -> new-routing-mark по connection-mark. Для вашего сценария хватит. А то можно столкнуться с ситуацией, когда у вас соединения будут маркироваться правильно, а вот routing mark на пакеты накладываться - нет.
И ещё: когда у вас нет прямой необходимости перемаркировывать уже промаркированные соединения, то для правил new-connection-mark выставляйте условие connection-mark=no-mark.

Answer 3

[Ивор Барханский]

Почему вы используете маскарад, если у вас статические ip-адреса? src-nat ваш выход.
Почему вы используете netmap, когда он решает совершенно не эту задачу? dsn-nat ваш выход.
Почему нет правил forward?
В чём сакральный смысл выбрасывания каждого порта поштучно, если вы никак с этим не взаимодействуете — не ведёте логи, не собираете статистику...
Зачем вы открываете 80 порт на инпут со всего мира?
Зачем вы используете allow-remote-requests=yes, если не используете микротик как dns?
То есть, у вас там проблема, которую следует решать более комплексно.

[offtop]
p.s. Если делаете не совсем легальные штуки, зависая на соответствующих форумах — хотя бы не светите публике ваши айпишники. Гугл подсказывает, например, что вы Владимир Иванов откуда-то из под Киева. Даже фото есть, по которому социалки нагуглить можно. Извините, на карантине скучно. :)
[/offtop]

Comments

[RoffDaniel]

Добрый вечер. Согласен, самого достало торчать дома на карантине. По поводу src-nat, dst-nat и forward Вы правы, но почему Вы задаете такие вопросы исходя лишь из конфига? Если Вам так инетерсно, то у меня есть личный веб-сервер который стоит после микротика, DNS, 80й порт и т.п настроены от части правильно, в любом случае, как мне надо. Проблему я решил, ошибка моя была лишь в протоколе и не более. Еще раз, спасибо за подсказки =)

P.S: и да, мне нечего скрывать, так как я никогда не занимался нелегальными вещами, разве что, установкой взломаных программ которые мне нужны были. И кстати, с фамилией Вы не ошиблись и... И добро пожаловать в мои социалки)))

[Ивор Барханский]

Просто потому что порт на микротике пробрасывается одним достаточно простым правилом. И если, внезапно, проброс на микротике не срабатывает, значит высока вероятность того, что где-то есть парвило, которое перебивает существующий проброс. Я попытался продраться через конфиг и понял, что я ничего не понял. Открыв на фоне ещё один текстовик я пошёл сокращать и перекомпоновывать правила, чтобы разобраться что пошло не так. Когда вопросов начало становиться много я немножечко плюнул на эту затею и накидал вопросов. :)
Почему я, например, говорил про DNS, ага, конфиг вы похоронили, буду по памяти, насколько я помню, в DHCP-server DNS у вас стоит несколько штук белых адресов, а в адрес листах intranet-сети, которые не пересекаются диапазонами с DNS. Я сделал вывод, что вы не отдаёте клиентам в leases в строчке DNS микротик, отдавая вместо этого внешние адреса. Static DNS тоже настроен не был (хотя если бы и был бы, опять же, микротик не dns-сервер), следовательно Allow Remote Requests откровенно простаивает и может быть выключен.
То есть примерно вот такие мысли.

Answer 4

[Руслан]

Вот видео https://www.youtube.com/watch?v=ba0-ngVMe_0