Смарт ТВ 

Установка vsftpd ubuntu. Настройка домашних папок пользователей. Настройка защищенного соединения

Стоит рассмотреть такой популярный вопрос, как перенаправление портов на mikrotik.

Проброс портов на роутерах фирмы Microtik можно осуществить несколькими способами, но самый простой - через программу Winbox. Для этого запускаем программу и авторизуемся (по умолчанию логин это – «root», а пароль пустой). Откроется оно настроек роутера, где вам нужно найти вкладку «IP», затем вкладку «Firewall» и наконец, нажать на вкладку «Nat»

Нажмите на кнопку «плюс», после чего откроется основное окно настройки портов mikrotik.

Как настроить проброс портов на роутере mikrotik?

Давайте поподробнее рассмотрим настройки в этом окне:

  • - Chain – основное правило, указывающее направление потока данных (из сети или в сеть). В нашем случае устанавливаем dst-nat.
  • - Src. Address – адрес одного источника из всемирной сети (желательно оставлять пустым).
  • - Dst. Address – конечный адрес нашего роутера (если оставить поле пустым, то потребуется указать его во вкладке In Interface).
  • - Protocol - основное значение, которое нужно указать для назначения порта (в нашем случае это TCP).
  • - Src. Port - исходящий порт (инициация порта удаленной машины, в основном поле остается пустым).
  • - Dst. Port – основной порт назначения (порт, в котором нужно указать значение: например, 80).
  • - Any. Port – любой порт как исходящий, так и входящий (в основном это поле можно оставить пустым).
  • - In. Interface – интерфейс, через который просматривается указанный порт (нужно указать интерфейс подключения интернета).

Так как остальные вкладки нам не нужны, перейдем на вкладку «Action».

Необходимо выбрать из ниспадающего списка действие, которое вам нужно:

  • dst-nat – переадресация пакетов из внешней сети (именно этот пункт вам и стоит выбрать).
  • - Action - выберите тот же пункт, что и в вкладке «Chain».
  • - To Addresses – ip адрес видеорегистратора и сервера, на который мы делаем проброс порта mikrotik.
  • - To Ports – укажите порт веб сервера.

Если вы нажмете кнопку «Apple», то роутер сам может добавить адрес и порт (если он был заранее прописан).

После того как настройки заполнены, желательно указать комментарии - для чего было создано данное правило (чтобы не запутаться). Для этого нажмите на кнопку «Comments» и заполните поле. После чего нажмите два раза кнопку «ОК».

Что нужно знать при настройке переадресации mikrotik?

В принципе, настройка проброса портов закончена, но есть один нюанс. Дело в том, что сервер самого роутера mikrotik работает на 80 порту. И если вам необходимо пробросить данный порт, то тогда нужно зайти на вкладку «IP», потом «Services» и изменить настройки порта веб сервера на любой другой, который не используется.

Необходимо отметить, что если вы хотите пробросить несколько портов, то в поле «To Ports» укажите номера портов через запятые (например, 80,554,и т.п.)

Это наиболее простой метод проброса портов на микротик: если он не сработал, то вам следует убедиться, что в правилах настройки файрвола нет запретов. Учтите, что и антивирусы, и при настройке также могут блокировать весь исходящий трафик.

Также проброс портов можно прописывать с помощью скриптов. Однако это значительно более сложный и трудоемкий процесс.

Сервер в кармане, или просто о сложном!

Настройка firewall Mikrotik

Разделы:

Вместо вступления

Итак, имеем роутер Mikrotik, например, очень популярный RB951G-2HnD.

Считаем, что внутренняя сеть осталась нетронутой (192.168.88.0/24), IP роутера 192.168.88.1, внешний интерфейс ether1-gateway.

Первое, что надо сделать: защитить роутер от маньяков из интернета. По умолчанию, брандмауэр роутера разрешает все подключения. Мы не можем подключить к нему клавиатуру и монитор для настройки или корректировки того, что мы натворим в дальнейшем, поэтому отнеситесь внимательно к тому, что и как вы настраиваете.

Доступ к терминалу через WinBox

Огромное преимущество WinBox состоит в том, что даже если сетевой адаптер компьютера, с которого вы подключаетесь к Mikrotik, находится в другой подсети (ну, настройка у вас такая), то WinBox все равно сможет подключиться к роутеру - по mac. Если вы еще не установили WinBox, самое время это сделать! В браузере открываем веб-интерфейс роутера и находим почти в самом низу ссылочку WinBox.

Запускаем WinBox и выбираем New Terminal.

При вводе команд учтите, что внесенные изменения применяются сразу же, поэтому не заблокируйте сами себя. После ввода команд новые правила будут доступны для редактирования через WinBox или веб-интерфейс. Порядок правил имеет значение - выполняются сверху вниз. Где бы вы ни взяли сами команды, сначала посмотрите, что они делают!

Цепочка INPUT работает тогда, когда данные предназначены роутеру (его ip адресу). Когда мы что-то настраиваем для этой цепочки, мы в первую очередь защищаем сам роутер (ssh, telnet, веб-интерфес и др.) от взлома. Пожалуй, больше всего внимания требует именно эта цепочка. Общий принцип построения правил: явно запрещаем что-то (например, все новые соединения из интернета;)) или явно что-то разрешаем (например, удаленный ssh), остальное запрещаем.

Цепочка FORWARD работает тогда, когда данные проходят через роутер, например, когда ваш локальный компьютер хочет открыть сайт ya.ru. Всякие блокировки на этом этапе защищают вас, например, от того, что зараженный компьютер в вашей локальной сети начнет рассылать спам или учавствовать в DDOS. Т.е. каждый банк-клиент, IM-месенджер и куча другого софта требуют своих особых разрешений, то если вы не защищаете банк от хакеров, то мы просто запретим некоторые наиболее распространенные виды трафика, которые используются зараженными компьютерами. А так весь проходящий из локалки в интернет (но не наоборот!) мы разрешим.

Цепочка OUTPUT работает тогда, когда данные генерятся на самом роутере и идут наружу. Например, для запросов DNS. Эту цеопчку по сути нам нет смысла фильтровать. Почти.

Цепочка forward позволяет нам разрешать или не разрешать проходящий трафик, а вот за то, какой трафик и куда мы будем перенаправлять, отвечают цепочки SRCNAT и DSTNAT.

Цепочка SRCNAT (Source NAT) предназначена для трафика, условно названного "наружу". Изменяется адрес источника (source) на адрес внешнего интерфейса. Например, чтобы дать возможность клиентам локальной сети посещать сайты в интернет.

Цепочка DSTNAT (Destination NAT) определяет как будет проходить "входящий" трафик. Роутер изменит адрес назначения (destination). Например, можно сделать доступным из вне веб сервер, размещенный в локальной сети.

INPUT

Минимальный набор правил - сделать недоступным из вне внешний интерфейс роутера.

/ip firewall filter
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=input action=drop comment="drop everything else" in-interface=ether1-gateway

где в последнем правиле мы запрещаем весь входящий трафик на внешнем интрфейсе. Не играйтесь настройками удаленно! Легко лишить себя доступа к роутеру.

NAT

IP -> Firewall - NAT. По-умолчанию, nat уже включен.Это правило "маскарадинга":

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1-gateway

Исходящий интерфейс (out-interface) всегда внешний, смотрящий и интернет (или просто в другую сеть, если у вас все непросто). В принципе, минимально этих правил nat и input уже достаточно. Учтите, что если у вас цепочка forward по-умолчанию блокирует все, что возможно, то надо добавить соответствующее правило:

/ip firewall filter add chain=forward out-interface=ether1-gateway

Примеры

Проброс портов

Предположим, вам надо сделать доступным веб-сервер (tcp/80), запущенный на локальной машине с IP 192.168.88.22.

/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.88.22 to-ports=80

Все бы ничего, но скорее всего, у вас включен firewall, который режет все, что не соответствует политике партии. Тогда надо разрешить forward пакетов:

/ip firewall filter add chain=forward protocol=tcp dst-port=80 action=accept

Это правило надо переместить повыше, т.е. ближе к началу списка правил.

Перенаправление трафика, адресованного одному ip, на другой ip

Если вам надо все подключения на один ip-адрес переадресовать другому ip-адресу:

/ip firewall nat add action=netmap chain=dstnat protocol=tcp dst-address=192.168.88.3 to-addresses=192.168.4.200

Ждем и давим, как блох любителей чужого ssh

Если мы не используем ssh для работы с Mikrotik, то нам может быть мало просто отключить ssh в IP -> Services. Если мы не пользуемся ssh, значит, любая попытка коннекта по ssh - вражеская!

Следующее правило добавляет IP-адреса источников (action=add-src-to-address-list), которые подключаются к 22 порту, в список ssh_blacklist , на 60 минут. Само это правило ничего не блокирует, просто заносит в черную книжечку:

/ip firewall filter
add chain=input protocol=tcp dst-port=22 address-list=ssh_blacklist action=add-src-to-address-list address-list-timeout=60m comment="record ssh brute forcers" disabled=no log=yes log-prefix=" --- SSH ATTEMPT --- "

А вот теперь, имея на руках список хулиганов (ssh_blacklist), можно банить им либо только работу с ssh, либо вообще любые действия в сторону нашего микротика:

/ip firewall filter
add chain=input protocol=tcp src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers"

Правила по отлову и блокированию маньяков надо разместить выше последнего запрещающего правила, иначе ничего не сработает. А еще лучше, если у вас есть открытый VPN или другие сервисы на микроте - оба этих правила поставить самыми первыми, чтобы тех, кто пытался наш ssh открыть, отгородить вообще от всего на нашем роутере, по принципу - если кто-то в одном что-то замышляет, то и в другом он тоже пакость готовит. Главное - не перестараться! Вдруг вы сами случайно забудете об этом правиле и решите с работы посканить роутер nmap-ом, например.

По этому принципу настраивают защиту микротика от брутфорса, но здесь я уже не буду засорять эфир, и так уже нагородил простыню.

Настройка с помощью скрипта

Вводить каждое правило firewall с консоли руками очень быстро может надоесть, к тому же готовый скрипт легко сохранить "на память". В открытом WinBox выбираем System -> Scripts. В текстовом редакторе готовим скрипт правил, копируем его и жмем Run Script. Потом можно что-то добавить по мелочи, что-то подправить, а может и опять скриптом все...

Приведу пример скрипта настройки firewall:

/ip firewall filter # INPUT add chain=input connection-state=invalid action=drop comment="drop invalid connections" add chain=input connection-state=related action=accept comment="allow related connections" add chain=input connection-state=established action=accept comment="allow established connections" # ext input # local input add chain=input src-address=192.168.88.0/24 action=accept in-interface=!ether1-gateway # drop all other input add chain=input action=drop comment="drop everything else" # OUTPUT add chain=output action=accept out-interface=ether1-gateway comment="accept everything to internet" add chain=output action=accept out-interface=!ether1-gateway comment="accept everything to non internet" add chain=output action=accept comment="accept everything" # FORWARD add chain=forward connection-state=invalid action=drop comment="drop invalid connections" add chain=forward connection-state=established action=accept comment="allow already established connections" add chain=forward connection-state=related action=accept comment="allow related connections" add chain=forward src-address=0.0.0.0/8 action=drop add chain=forward dst-address=0.0.0.0/8 action=drop add chain=forward src-address=127.0.0.0/8 action=drop add chain=forward dst-address=127.0.0.0/8 action=drop add chain=forward src-address=224.0.0.0/3 action=drop add chain=forward dst-address=224.0.0.0/3 action=drop # (1) jumping add chain=forward protocol=tcp action=jump jump-target=tcp add chain=forward protocol=udp action=jump jump-target=udp add chain=forward protocol=icmp action=jump jump-target=icmp # (3) accept forward from local to internet add chain=forward action=accept in-interface=!ether1-gateway out-interface=ether1-gateway comment="accept from local to internet" # (4) drop all other forward add chain=forward action=drop comment="drop everything else" # (2) deny some types common types add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP" add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper" add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper" add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT" add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs" add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS" add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus" add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP" add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP" add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper" add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper" add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT" add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS" add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice" add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="echo reply" add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="net unreachable" add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="host unreachable" add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="host unreachable fragmentation required" add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow source quench" add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request" add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed" add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad" add chain=icmp action=drop comment="deny all other types" # (5) drop all other forward add chain=forward action=drop comment="drop (2) everything else"

Обратите внимание: этот скрипт не привязан к внешнему IP или MAC или чему-то уникальному. Его можно брать и использовать. Если вы ничего не меняли в своем роутере и обновили до версии 6.* после покупки, вам на всякий случай следует проверить название внешнего интерфейса и убедиться, что внутренняя сеть 192.168.88.0/24. И все.

ether1-gateway - внешний интерфейс, первый по счету. Это его имя по-умолчанию. Остальные порты - внутренние.

В секции ext input ничего нет - мне не нужно, чтобы кто-то подключался к роутеру. Если вам необходим удаленный доступ к роутеру, скажем, по ssh, то впишите команду:

add chain=input protocol=tcp dst-port=22 action=accept in-interface=ether1-gateway comment="allow remote ssh"

В секции OUTPUT хватило бы и последней команды (add chain=output action=accept comment="accept everything"), но для интереса я немного разделил по исходящим интерфейсам. Теперь при беглом просмотре будет видно, есть ли вообще трафик от роутера, и если есть, куда он идет - наружу или в локалку. Скажем, увидим, что был трафик наружу, уточним правила по протоколам (tcp, udp, icmp). Если будет еще интереснее, можно будет поставить правило для логирования определенного вида трафика. Особо не увлекайтесь, все-таки роутер не имеет кучи места под логи. Да и лишний раз напрягать слабенький процессор тоже не очень.

Последнее правило (5) никогда не будет выполняться, я его добавил сюда специально, чтобы продемонстрировать работу jump. Последнее правило для цепочки forward будет (4) drop.

Т.е. предположим, мы запросили исходящее соединение с удаленным ssh-сервером (т.е. из локальной сети через через цепочку forward, протокол tcp, dst-port 22). Дойдя до блока (1) jumping, выполнится переход в (2) deny для tcp. Т.к. в цепочке tcp нет решения по поводу tcp/22, то выполнение вернется к (3), которое выполнит forward нашего пакета. Если наш пакет не удовлетворит требованиям (3), следующее за ним правило (4) блокирует его.

Наглядно это очень интересно смотреть, когда в окне Firewall видишь счетчик пакетов по правилам.

Если вы начали подозревать, что 100500 правок выполняют уже невесть что, просто выделяете все правила брандмауэра и нажимаете delete. Затем снова Run Script ;)

Чтобы не листать всю простыню, можно отфильтровать листинг правил по цепочкам (фильтр вверху справа):

Запаситесь терпением, не экспериментируйте в состоянии ночного анабиоза и второпях. В принципе, это все.

08.12.2016 21:59 Serge

11.12.2016 17:25 bzzz

05.05.2017 23:18 alex099

28.10.2017 14:51 [email protected]

25.11.2017 10:24 Dehale

25.11.2017 10:27 Dehale

Проброс портов это технология, позволяющая получать доступ к устройствам в локальной сети из-вне. Это происходит за счет правила, которое работает по условию: если пришел запрос на порт Х (входящий порт), то надо перенаправить трафик на порт Y (исходящий порт) устройства с IP-адресом Z. При этом входящий порт (X) и исходящий порт (Y) могут, как быть одинаковыми, так и различаться.


Для чего нужно?

Проброс портов используется, если надо получить доступ из-вне к терминальному или веб-серверу внутри организации, если используются пиринговые сети. Многопользовательские игры то же иногда используют эту технологию.

Настройка

Для примера мы пробросим 80 порт, он обычно нужен если вы решили разместить у себя в локальной сети веб-сервер с вашим веб-проектом.

В нашем примере: внешний порт маршрутизатора (ether5-WAN1) с адресом 10.1.100.1, внутренний адрес компьютера на котором веб-сервер 192.168.15.15.

Через графический интерфейс

Для того, чтобы пробросить порты надо в меню выбрать IP => Firewall и далее вкладку «NAT». Нажать значок + для добавления нового правила. Далее необходимо выполнить следующие настройки:

  • Вкладка General:
  1. Chain: dstnat
  2. Protocol: указать протокол 6 (tcp)
  3. Dst. Port: указать порт входящего соединения.
  4. In. Interface: выбрать интерфейс входящего соединения

Примечание:

Важно указывать входящий интерфейс, так как в противном случае маршрутизатор может перенаправить трафик с другого интерфейса по создаваемому нами правилу и это может привести к проблемам. Если в приведенном нами примере не указать входящий интерфейс, то в случае попытки из локальной сети открыть сайт по http:// маршрутизатор перенаправит поток на внутренний сервер с адресом 192.168.15.15.
Так же обратите внимание что для других задач, нужно будет указывать другой протокол (к примеру udp) - поэтому вы должны выяснить какие порты и с какими протоколами требуют проброса для вашей задачи (приложения).


  • Вкладка Action:
  1. Action: dst-nat
  2. To Addresses: указать адрес на который надо выполнить проброс
  3. To Ports: указать порт на который надо выполнить проброс

Через консоль

/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether5-WAN1 protocol=tcp to-addresses=192.168.15.15 to-ports=80

Если в качестве входящего порта надо использовать порт, отличный от оригинального. Например, из-вне надо получить доступ по порту 8080, а веб-сервер при этом работает по 80-му порту, то надо соответствующим образом изменить параметр "Destination Port". Dst. Port: в графическом интерфейсе или dst-port в консоли.

Роутеры MikroTik - одни из самых распространенных «продвинутых» маршрутизаторов в России.

Поэтому мы сделали инструкцию по «пробросу» портов для MikroTik. Такая настройка необходима для обеспечения удаленного доступа к устройствам, находящихся в сети под управлением Микротик.

При помощи MikroTik можно организовать доступ к регистраторам и IP-камерам в локальной сети без использования облачного сервиса.

Исходные данные:

— нужен внешний статический «белый» IP адрес;

-статический адрес регистратора в локальной сети;

— мы подразумеваем, что Интернет подключение уже настроено.

Для проброса портов, необходимо зайти на маршрутизатор с правами администратора.

Необходимо создать правило проброса портов. Под «правилом» подразумевается некую совокупность настроек, которые можно ввести текстом в терминале или в графическом интерфейсе WinBox.

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=34567,80 in-interface=ether1-WAN \

ether-WAN - внешний интерфейс,
ether-LAN - интерфейс локальной сети,
192.168.1.9 - стандартный IP-адрес видеорегистратора.

Если нужно пробросить больше портов или использовать нестандартные порты, в таком случае потребуется два правила и потребуется заполнить поле «To Ports» на вкладке Action. В поле «To Ports» необходимо вписывать порт назначения (на видеорегистраторе).

Если вы хотите подключаться по внешним портам из локальной сети, в таком случае потребуется статический (не изменяющийся со временем) внешний IP адрес.

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=12.34.56.78 dst-port=34567,80 \
protocol=tcp to-addresses=192.168.1.9

Где 12.34.56.78 ваш внешний IP адрес.

А также потребуется составить дополнительное NAT правило для доступа к локальным ресурсам по внешним портам.

/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.1.0/24 src-address=\
192.168.1.0/24

Где 192.168.1.0/24 подсеть регистратора.

Также правило необходимо будет вписать дополнительное правило для всех подсетей в пределах этого маршрутизатора, откуда потребуется доступ к регистратору по внешнему IP.

В конечном итоге должно получиться следующее.

Представляет собой одну из самых главных функций в области перенаправления трансляции сетевых адресов. Проще говоря, это возможность использования несколькими устройствами, объединенными в одну локальную сеть или подключаемыми через беспроводную связь устройствами, одного внешнего интерфейса. Если говорить еще проще, проброс портов «Микротик» (RDP) дает возможность получения доступа к определенному компьютерному терминалу или устройству через интернет-соединение извне. Таким образом, можно управлять любым устройством через удаленный доступ. Единственное, что для этого требуется, - наличие свободного порта на роутере. Далее будет рассмотрено несколько самых распространенных ситуаций, в которых требуется или настоятельно рекомендуется сделать проброс портов. «Микротик» модели RB951-2n возьмем в качестве примера. Но это не самое главное. В роутере/модеме «Микротик» проброс порта через несколько отличается от общепринятых правил. Но обо всем по порядку.

Роутер Mikrotik: общие характеристики

Владельцам роутеров серии Mikrotik несказанно повезло. Дело в том, что эти устройства в большинстве своем имеют несколько входов для сетевых подключений. В вышеуказанной модели их пять.

Это дает возможность использовать массу совершенно различных настроек даже для тех случаев, когда имеется несколько провайдеров. Согласитесь, достаточно весомое преимущество. Чтобы подключение работало, и работало корректно, придется сделать проброс портов «Микротик»-роутера. Сразу отметим, что придется немного повозиться. Зато в итоге пользователь получит достаточно много возможностей по применению современных интернет-технологий. Правда, обольщаться не стоит, поскольку настройка проброса при отсутствии определенных знаний может стать достаточно хлопотным делом. Но не стоит опускать руки. Наша инструкция поможет выполнить настройку роутеров этой серии даже самому неподготовленному пользователю. Важно соблюдать все пункты, включенные в список.

Проброс портов «Микротик»: вход в веб-интерфейс

С входом в интерфейс устройства проблем быть не должно. Стандартная процедура включает в себя использование самого обычного интернет-браузера, в котором в адресной строке нужно ввести комбинацию 192.168.88.1. Заметьте, этот адрес кардинально отличается от данных большинства других роутеров.

В качестве логина всегда используется admin, а поле пароля остается пустым. Если данный вариант не работает, просто сбросьте настройки нажатием кнопки Reset или отключением устройства от электросети на 10-15 секунд.

Общее описание параметров

После входа, прежде чем выполнять проброс портов «Микротик», желательно ознакомиться с некоторыми важными настройками и параметрами, которые придется изменять.

Для начала следует войти в раздел Interfaces (второй пункт в меню слева), где будут показаны все доступные на данный момент интерфейсы. На локальный мост пока не обращаем внимания, а смотрим на порт Ether1. Он соответствует первому порту (разъему) на роутере, в который включен кабель с разъемом RJ-45 от провайдера. Еще он называется Gateway - вход, через который можно будет получить доступ к самому устройству.

Четыре остальных порта объединены в виртуальный свитч. Второй порт имеет приоритет Master, остальные - Slave. Три последних порта ориентируются на второй, который, по сути, ими же и управляет на основе подключения к первому.

Между основными портами и интернетом в качестве некой «прослойки» установлена служба трансляции сетевых адресов NAT. Она позволяет установить и внутренние, и внешние адреса для компьютеров в одной локальной сети, которые могут не совпадать изначально.

Далее начинается маскарад. Да-да, вы не ослышались, это действительно так! Функция Masquerade работает по принципу VPN или прокси, подменяя внешний IP компьютерного терминала при выходе в интернет адресом самого роутера. Точно так же при получении отклика служба идентифицирует внутренний IP компьютера, с которого производился запрос, и отсылает ответ именно на эту машину. Если служба не включена, нужно будет активировать ее в соответствующем разделе самой операционнной системы.

Основные настройки портов

В зависимости от того, какая программа или служба должна использовать определенный свободный порт роутера, и придется отталкиваться, делая проброс портов «Микротик».

К примеру, для работы любого Torrent-клиента необходимо задействовать порт 51413, для удаленного соединения посредством использования подключения RDP - 3389, для установки связи с ByFly - 55555 и т. д. Но стоит заметить, что проброс портов «Микротик» через VPN-клиент немного отличается от стандартной процедуры (далее будет понятно, почему).

Создание правил

Но вернемся к пробросу. Заходим на вкладку Firewall/NAT и видим, что одно правило уже имеется (оно установлено по умолчанию).

Нам нужно добавить новое (делается это нажатием кнопки со значком плюса). Тут есть несколько основных параметров:

  • Chain - устанавливаем Srcnat, если требуется доступ из внутренней сети во внешнюю, или Dstnat - из интернета во внутреннюю сеть;
  • Protocol - выбираем TCP;
  • Src. Port - без изменений;
  • Dst. Port - 51413 (в данном случае для торрента);
  • In. Interface - ether1-gateway;
  • Out. Interface - без изменений.

Выбор действия

Выбрать операцию, которая будет активирована при приеме входящих пакетов, есть из чего. Чтобы не усложнять ситуацию, можно установить значение Accept. В этом случае все пакеты будут приниматься автоматически.

Когда потребуется произвести перенаправление данных из внутренней сети во внешнюю, можно использовать варианты dst-nat и netmap. Второй вариант предпочтительнее, поскольку является улучшенной версией первого.

Также можно перейти к разделу комментариев (Comments) и указать информацию для созданного правила, чтобы в дальнейшем система не запрашивала выбор действия. На этом проброс портов «Микротик» можно считать завершенным. Но не все так просто.

Проброс портов «Микротик» из интернета в локалку: переадресация для нескольких провайдеров

Предположим, что подключение осуществляют несколько провайдеров, и пользователь в какой-то момент хочет выбрать, чьими услугами воспользоваться или распределить их на разные машины. В роутерах «Микротик» два провайдера проброс портов поддерживают без проблем.

В этом случае при выборе действия устанавливается режим dst-nat, а в поле To Address (например, для ByFly) используется адрес 10.24.3.2 (TCP 55555). Пункт To Ports можно не трогать.

  • /ip firewall nat;
  • add action=dst-nat chain=dstnat comment=torrent dst-port=55555 in-interface=\;
  • ByFly protocol=tcp to-addresses=10.24.3.2.

Проброс для порта 3389 (RDP)

Теперь несколько слов об удаленном управлении с использованием свободных портов роутера. Собственно, процедура практически та же.

Установки опций должны быть такими:

  • Шлюз: 192.168.8.1.
  • Действие: accept.
  • NAT (правило должно быть установлено ранее правила masquerade).
  • Цепочка: dstnat.
  • Протокол: 6 (tcp) (по умолчанию).
  • Порт назначения: 3389 (номер порта, на который переадресовывается пробрасываемый порт в Интернете).
  • Исходящий тип интерфейса: pppoe-out.
  • Действие: dst-nat.
  • Переадресация на: 192.168.0.232.

В настройках протокола IPv4 нужно перейти к дополнительным параметрам и указать на вкладке параметров IP дополнительные адреса (как это показано на изображении выше), после чего прописать адрес, с которым будет взаимодействовать роутер.

Создаем правило для второго провайдера, добавляем параметры для Masquerade.

Вопросы видеонаблюдения

Давайте посмотрим, как в роутере «Микротик» проброс портов для видеонаблюдения работает на практике. В принципе, настройки почти те же самые, что и в основном случае.

Только проброс портов «Микротик» для видеорегистратора выглядит примерно так:

  • Цепочка: dstnat.
  • Протокол: 6 (tcp).
  • Удаленный порт: 200.
  • In. Interface: ether1-gateway.
  • Действие: netmap.
  • Переадресация на: 192.168.ХХХ.ХХХ.
  • Порт: 80.

Как видим, настройки ничем не отличаются от указанных выше, но в качестве основного порта используется номер 80. Только и всего.

Заключение

Подводя итоги, можно отметить, что проброс портов «Микротик» - дело достаточно сложное, и рядовой пользователь, не знакомый хотя бы с элементарным знанием интерфейса роутеров этой серии, справится вряд ли. Благодаря приведенной инструкции вы сможете почерпнуть для себя важную информацию и произвести настройку проброса портов самостоятельно.

Практически все параметры и опции по природе своей идентичны. Различаются только режимы работы и номерами портов. В остальном же при тонкой настройке проблем быть не должно. Вопрос о том, насколько все это актуально, придется решать самостоятельно. Конечно, автоматизация подключений к интернету, в особенности при доступе к локальной сети или конкретному терминалу извне, работает не всегда. Поэтому придется потратить немного времени, чтобы произвести правильную настройку даже с использованием доступа к услугам нескольких провайдеров.