Как пробросить порты Mikrotik?

Question

[MadDeee]

Есть роутер MikroTik rb2011UiAS-2HnD. Только сегодня его распаковали и начали устанавливать. Интернет во всей организации появился, всё - ОК, но не получается пробросить порт до нашего сервера, где установлен сайт (порт 80)
Есть внешний IP 94.24.253.22 (Eth 1)
к Eth 2 подключен хаб с множеством подключений в том числе и сайт
И внутренний (где расположен сайт) 10.102.10.32
Лазил в интернете, всё делал по инструкции. Не понимаю, что я делаю не так. Сделал всё как нужно, по началу доступ по внешнему ИП приводил к веб интерфейсу роутера, но я это исправил и изменил порт. Вроде всё сделал правильно, но сайт не открывает. Помогите, я уже не знаю где копать... Готов предоставить любые скрины из разделов

Comments

[Иван]

Вывод в терминале этой команды можете показать?
/ip firewall nat print

[АртемЪ]

Лазил в интернете, всё делал по инструкции

Что за инструкция. В микротике по инструкции из интернета такого натворить можно, что потом ни один спец не разберется.
Покажите скриншот правил фаервола - только качество получше, а то видно плохо.
Покажите скриншот окна созданного правила проброса - вкладки general и action

[MadDeee]

Иван,
Пожалуйста))

[MadDeee]

АртемЪ,

Answer 1

[Дмитрий]

Обычно для такого требуется прописывать два правила (по крайней мере, при настройках, сгенерированных через Quick Set). Одно вы сделали (собственно проброс порта в IP -> Firewall -> NAT). Второе правило нужно прописать в IP -> Firewall -> Filter, в цепочке forward, оно должно разрешать трафик с внешнего интерфейса до внутреннего ip-адреса сервера по нужному порту, и стоять выше, чем созданное по умолчанию правило, запрещающее трафик с внешнего интерфейса на внутренние интрерфейсы или ip-адреса.

Comments

[MadDeee]

Правильно сделал?)


Настройка NAT

-----------------------------

[Дмитрий]

MadDeee, на первый взгляд да, но чтобы сказать точно, нужно полностью правила видеть. Доступ к сайту не заработал? Счетчики на правилах ненулевые, значит правила срабатывают.
Полностью можно экспортировать правила в консоли командами
/ip firewall filter export
/ip firewall nat export
P.S. Можно было бы поднять правило на первом скриншоте на две строчки выше.

[MadDeee]

Дмитрий, поднял, безрезультатно

FILTER


NAT

[MadDeee]

Ниже я ещё скрины скинул, может поможет... Или я могу логин и пароль дать вы сами гляните в чем может быть проблема? Был бы очень благодарен вам

[Дмитрий]

MadDeee, доступ так и не работает? На самом веб-сервере маршрутизация в интернет есть (т.е. шлюз по умолчанию прописан)? Порт 80 не закрыт брандмауэром в операционной системе?
Я в принципе могу посмотреть, что к чему.

[MadDeee]

Дмитрий, Написал там

Answer 2

[Gregory]

на самом сервере шлюз указан?

Answer 3

[CityCat4]

/ip firewall nat
add action=dst-nat chain=dstnat comment="Allow any to our webserver" dst-address=1.2.3.4 dst-port=\
    80,443 in-interface=ether1 protocol=tcp to-addresses=10.4.1.1

Вот как-то так.
Читается так - "если пакет пришел на IP 1.2.3.4, на порт 80 или 443 через интерфейс ether1, то пробросить его на адрес 10.4.1.1 на тот же порт"

Answer 4

[MadDeee]

Вот ещё доп. скрин

Answer 5

[Алексей]

Выше уже написали, что нужно помимо правила проброса портов, в цепочке forward нужно прописать, чтобы система пропускала трафик, который удовлетворит условию:
- входящий адрес/порт на внешнем интерфейсе
- назначение = ваш сервер
Советую в каждое правило временно (!) добавить логирование (галочка log в Winbox, или параметры log и log-prefix в консоли) и добавить префикс, чтобы можно было увидеть трафик с журнале и отследить отработку правила. Также можно сбросить счётчики трафика, чтобы увидеть работу конкретных правил по наращиванию этого счётчика.

Answer 6

[graf_Alibert]

80й порт на Микротике по умолчанию занят веб интерфейсом, поэтому:
#Меняем порт веб-интерфейса и вообще его выключаем
/ip service set 2 port=8080 disabled=yes
#Правило разрешающее подключение извне

/ip firewall filter
add action=accept chain=forward comment=WEB dst-address=10.102.10.32 \
    dst-port=80,443 protocol=tcp

#И поднимаем его повыше
/ip firewall filter move [find comment="WEB"] 0
# Правило NAT

/ip firewall nat
add action=netmap chain=dstnat comment=WEB dst-port=80,443 \
    in-interface=ether1 protocol=tcp to-addresses=10.102.10.32