Как пробросить порты Mikrotik?

Есть роутер MikroTik rb2011UiAS-2HnD. Только сегодня его распаковали и начали устанавливать. Интернет во всей организации появился, всё - ОК, но не получается пробросить порт до нашего сервера, где установлен сайт (порт 80)
Есть внешний IP 94.24.253.22 (Eth 1)
к Eth 2 подключен хаб с множеством подключений в том числе и сайт
И внутренний (где расположен сайт) 10.102.10.32
Лазил в интернете, всё делал по инструкции. Не понимаю, что я делаю не так. Сделал всё как нужно, по началу доступ по внешнему ИП приводил к веб интерфейсу роутера, но я это исправил и изменил порт. Вроде всё сделал правильно, но сайт не открывает. Помогите, я уже не знаю где копать... Готов предоставить любые скрины из разделов
606d9c4740b4c161712476.jpeg
  • Вопрос задан
  • 290 просмотров
Пригласить эксперта
Ответы на вопрос 6
Обычно для такого требуется прописывать два правила (по крайней мере, при настройках, сгенерированных через Quick Set). Одно вы сделали (собственно проброс порта в IP -> Firewall -> NAT). Второе правило нужно прописать в IP -> Firewall -> Filter, в цепочке forward, оно должно разрешать трафик с внешнего интерфейса до внутреннего ip-адреса сервера по нужному порту, и стоять выше, чем созданное по умолчанию правило, запрещающее трафик с внешнего интерфейса на внутренние интрерфейсы или ip-адреса.
Ответ написан
Maxlinus
@Maxlinus
на самом сервере шлюз указан?
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
Жил-был у бабушки серенький троллик...
/ip firewall nat
add action=dst-nat chain=dstnat comment="Allow any to our webserver" dst-address=1.2.3.4 dst-port=\
    80,443 in-interface=ether1 protocol=tcp to-addresses=10.4.1.1


Вот как-то так.
Читается так - "если пакет пришел на IP 1.2.3.4, на порт 80 или 443 через интерфейс ether1, то пробросить его на адрес 10.4.1.1 на тот же порт"
Ответ написан
Комментировать
@MadDeee Автор вопроса
Вот ещё доп. скрин 606e9afe88818525185738.jpeg
606e9b5c00744847227999.jpeg
Ответ написан
Комментировать
@Protosuv
Сисадмин, VoIP инженер, начинающий DevOps
Выше уже написали, что нужно помимо правила проброса портов, в цепочке forward нужно прописать, чтобы система пропускала трафик, который удовлетворит условию:
- входящий адрес/порт на внешнем интерфейсе
- назначение = ваш сервер
Советую в каждое правило временно (!) добавить логирование (галочка log в Winbox, или параметры log и log-prefix в консоли) и добавить префикс, чтобы можно было увидеть трафик с журнале и отследить отработку правила. Также можно сбросить счётчики трафика, чтобы увидеть работу конкретных правил по наращиванию этого счётчика.
Ответ написан
Комментировать
@graf_Alibert
80й порт на Микротике по умолчанию занят веб интерфейсом, поэтому:
#Меняем порт веб-интерфейса и вообще его выключаем
/ip service set 2 port=8080 disabled=yes
#Правило разрешающее подключение извне
/ip firewall filter
add action=accept chain=forward comment=WEB dst-address=10.102.10.32 \
    dst-port=80,443 protocol=tcp

#И поднимаем его повыше
/ip firewall filter move [find comment="WEB"] 0
# Правило NAT
/ip firewall nat
add action=netmap chain=dstnat comment=WEB dst-port=80,443 \
    in-interface=ether1 protocol=tcp to-addresses=10.102.10.32
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы