Телевизор 

Mikrotik перенаправление. Как сделать проброс портов в Mikrotik? Проброс портов ("Микротик"): описание, инструкция, рекомендации

Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны - в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем - просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности.
Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ.

Итак, начнём с самого простого и, в тоже время, нужного - проброс порта из внутренней сети «наружу».

Любую сеть можно схематично представить вот в таком виде:

Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi.
Подключаемся через web-интерфейс или Winbox"ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces .

Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс - это, грубо говоря, канал связи роутера с другим компьютером/компьютерами)

Первым идёт bridge-local - «локальный мост». В данном случае он служит для установки моста между локальной сетью и беспроводными подключениями по WiFi (В Микротике для соединения вместе нескольких интерфейсов можно или объединить их в свитч, или соединить мостом(бриджем). У каждого из этих двух вариантов есть свои сильные и слабые стороны. Но это тема для отдельной статьи).
Далее, ether1-gateway . Ether1 - это первый RJ45 разъём на лицевой панели роутера. По умолчанию считается, что в него воткнут кабель с интернетом, приходящий от провайдера. Поэтому он называется Gateway - «Ворота» (В принципе, это не обязательно должен быть первый порт, при желании можно назначить gateway"ем любой другой порт, и даже несколько портов одновременно, при наличии подключений от нескольких провайдеров).
Затем идут 4 порта локальной сети. Они объединены в свитч, начиная со второго RJ45 разъёма, он называется ether2-master-local , остальные 3 - неполиткорректно называются slave-local . Тут логика простая: в параметрах портов 3, 4 и 5 прописано, что главным у них является порт №2 - соответственно, все четыре порта автоматически объединяются в виртуальный свитч. А этот виртуальный свитч внутренней сети объединен с беспроводной сетью посредством бриджа из первой строки.

Между внешним интернетом и внутренней сетью находится NAT - Network Address Translation, дословно «Трансляция сетевых адресов». Механизм, позволяющий компьютерам, находящимся в локальной сети, иметь внутренние адреса своей сети, и при этом нормально общаться со всеми другими компьютерами и серверами в интернете (при этом для внешнего сервера все компьютеры внутри сети представляются одним адресом - внешним адресом роутера). Вкратце, это работает таким образом: при обращении из внутренней сети куда-нибудь в интернет, роутер подменяет внутренний адрес компьютера своим адресом, принимает ответ от сервера в интернете, и переадресовывает на локальный адрес компьютера, сделавшего исходный запрос. Это называется Masquerade - «Маскарад»: данные от машины в локальной сети как-бы «надевают маску» и для внешнего сервера это выглядит так, будто они исходят от самого роутера. Точно так же, при подключении из внешней сети, нам нужно где-то задать правило, какой именно компьютер в локальной сети должен отвечать на попытки подключиться к какому-то порту на роутере. Поясню на примере:

Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 - подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 - на машину PC2.
Для этого и нужен NAT.
В Микротике управление NAT"ом находится в разделе IP ->Firewall ->NAT :



Тут мы видим, что одно правило уже есть. Оно автоматически создаётся конфигурацией по-умолчанию - это тот самый «Маскарад», он необходим для того, чтобы компьютеры во внутренней сети могли нормально обращаться к серверам в интернете.
Нам же нужно ровно наоборот - добавить правило для подключения извне к одной из машин в локальной сети. Например, для эффективной работы торрент-клиента мы хотим сделать доступным порт 51413 на машине с именем nas.
Нажимаем синий плюсик

В появившемся окне нового правила нам нужно всего несколько опций

Первое - это Chain (Цепочка). Тут может быть всего два варианта - srcnat и dstnat . Цепочка - это, грубо говоря, направление потока данных. Srcnat - из внутренней сети во внешнюю, dstnat - соответственно, из внешней во внутреннюю. Как легко догадаться, в нашем случае требуется выбрать dstnat .
Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения - всегда внешний адрес роутера. Эти пункты ставить смысла нет.
Потом пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для торрентов выбираем тут tcp .
Src. Port (исходящий порт) - это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это абсолютно без разницы, тут ничего не ставим.
Dst. Port (порт назначения) - а это как раз тот порт, на который мы хотим принимать соединение. В моём торрент-клиенте это 51413.
Затем идёт забавный пункт Any. Port (любой порт) - так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
Теперь очень важный момент:
In. interface (входящий интерфейс) - это, грубо говоря, тот интерфейс, на котором «слушается» указанный порт. Если не указан это параметр, то этот порт перестанет так же быть доступен из внутренней сети, даже несмотря на то, что цепочка у нас dstnat . Поэтому, выбираем тут интерфейс, через который мы подключены к интернету, в нашем случае - ether1-gateway .
Out. interface (исходящий интерфейс) - интерфейс, к которому подключена та машина, на которую мы делаем переадресацию. Тут что-либо ставить не имеет смысла.
Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться.
В итоге, получается вот такая картина:

Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в Action (Действие)

Тут из списка Action нужно выбрать конкретное действие, которое следует выполнить с подключением на указанный ранее порт. Выбрать есть из чего:
accept - Просто принимает пакет;
add-dst-to-address-list - Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list - Аналогично предыдущему, но для исходного адреса;
dst-nat - Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump - Позволяет применить для данных правила из другой цепочки. Например, для цепочки srcnat - применить правила цепочки dstnat ;
log - Просто добавляет информацию о пакете в лог роутера;
masquerade - Тот самый «Маскарад»: подмена внутреннего адреса машины из локальной сети на адрес роутера;
netmap - Отображение одного адреса на другой. Фактически, развитие dst-nat;
passthrough - Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect - Перенаправляет данные на другой порт в пределах роутера;
return - Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same - применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;
src-nat - Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю.
Для наших целей подходит dst-nat и netmap . Последнее является более новым и улучшенным вариантом первого, логично использовать его:

В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports - соответственно, сам порт.
Чтобы не заморачиваться, вместо адреса пишу имя комьютера, и указываю порт:

И нажимаю кнопку Apply , роутер сам находит адрес машины:

Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем

Всё, нажимаем в окошке ввода комментария и ОК в окне ввода правила:

Правило создано, всё работает.

Обратите внимание - дополнительно «открывать» порт не требуется!

Инструкция актуальна для версий прошивки 5 и 6. До версии 7 вряд-ли что-либо изменится.

Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны - в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем - просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности.
Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ.

Итак, начнём с самого простого и, в тоже время, нужного - проброс порта из внутренней сети «наружу».

Любую сеть можно схематично представить вот в таком виде:

Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi.
Подключаемся через web-интерфейс или Winbox"ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces .

Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс - это, грубо говоря, канал связи роутера с другим компьютером/компьютерами)

Первым идёт bridge-local - «локальный мост». В данном случае он служит для установки моста между локальной сетью и беспроводными подключениями по WiFi (В Микротике для соединения вместе нескольких интерфейсов можно или объединить их в свитч, или соединить мостом(бриджем). У каждого из этих двух вариантов есть свои сильные и слабые стороны. Но это тема для отдельной статьи).
Далее, ether1-gateway . Ether1 - это первый RJ45 разъём на лицевой панели роутера. По умолчанию считается, что в него воткнут кабель с интернетом, приходящий от провайдера. Поэтому он называется Gateway - «Ворота» (В принципе, это не обязательно должен быть первый порт, при желании можно назначить gateway"ем любой другой порт, и даже несколько портов одновременно, при наличии подключений от нескольких провайдеров).
Затем идут 4 порта локальной сети. Они объединены в свитч, начиная со второго RJ45 разъёма, он называется ether2-master-local , остальные 3 - неполиткорректно называются slave-local . Тут логика простая: в параметрах портов 3, 4 и 5 прописано, что главным у них является порт №2 - соответственно, все четыре порта автоматически объединяются в виртуальный свитч. А этот виртуальный свитч внутренней сети объединен с беспроводной сетью посредством бриджа из первой строки.

Между внешним интернетом и внутренней сетью находится NAT - Network Address Translation, дословно «Трансляция сетевых адресов». Механизм, позволяющий компьютерам, находящимся в локальной сети, иметь внутренние адреса своей сети, и при этом нормально общаться со всеми другими компьютерами и серверами в интернете (при этом для внешнего сервера все компьютеры внутри сети представляются одним адресом - внешним адресом роутера). Вкратце, это работает таким образом: при обращении из внутренней сети куда-нибудь в интернет, роутер подменяет внутренний адрес компьютера своим адресом, принимает ответ от сервера в интернете, и переадресовывает на локальный адрес компьютера, сделавшего исходный запрос. Это называется Masquerade - «Маскарад»: данные от машины в локальной сети как-бы «надевают маску» и для внешнего сервера это выглядит так, будто они исходят от самого роутера. Точно так же, при подключении из внешней сети, нам нужно где-то задать правило, какой именно компьютер в локальной сети должен отвечать на попытки подключиться к какому-то порту на роутере. Поясню на примере:

Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 - подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 - на машину PC2.
Для этого и нужен NAT.
В Микротике управление NAT"ом находится в разделе IP ->Firewall ->NAT :



Тут мы видим, что одно правило уже есть. Оно автоматически создаётся конфигурацией по-умолчанию - это тот самый «Маскарад», он необходим для того, чтобы компьютеры во внутренней сети могли нормально обращаться к серверам в интернете.
Нам же нужно ровно наоборот - добавить правило для подключения извне к одной из машин в локальной сети. Например, для эффективной работы торрент-клиента мы хотим сделать доступным порт 51413 на машине с именем nas.
Нажимаем синий плюсик

В появившемся окне нового правила нам нужно всего несколько опций

Первое - это Chain (Цепочка). Тут может быть всего два варианта - srcnat и dstnat . Цепочка - это, грубо говоря, направление потока данных. Srcnat - из внутренней сети во внешнюю, dstnat - соответственно, из внешней во внутреннюю. Как легко догадаться, в нашем случае требуется выбрать dstnat .
Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения - всегда внешний адрес роутера. Эти пункты ставить смысла нет.
Потом пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для торрентов выбираем тут tcp .
Src. Port (исходящий порт) - это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это абсолютно без разницы, тут ничего не ставим.
Dst. Port (порт назначения) - а это как раз тот порт, на который мы хотим принимать соединение. В моём торрент-клиенте это 51413.
Затем идёт забавный пункт Any. Port (любой порт) - так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
Теперь очень важный момент:
In. interface (входящий интерфейс) - это, грубо говоря, тот интерфейс, на котором «слушается» указанный порт. Если не указан это параметр, то этот порт перестанет так же быть доступен из внутренней сети, даже несмотря на то, что цепочка у нас dstnat . Поэтому, выбираем тут интерфейс, через который мы подключены к интернету, в нашем случае - ether1-gateway .
Out. interface (исходящий интерфейс) - интерфейс, к которому подключена та машина, на которую мы делаем переадресацию. Тут что-либо ставить не имеет смысла.
Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться.
В итоге, получается вот такая картина:

Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в Action (Действие)

Тут из списка Action нужно выбрать конкретное действие, которое следует выполнить с подключением на указанный ранее порт. Выбрать есть из чего:
accept - Просто принимает пакет;
add-dst-to-address-list - Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list - Аналогично предыдущему, но для исходного адреса;
dst-nat - Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump - Позволяет применить для данных правила из другой цепочки. Например, для цепочки srcnat - применить правила цепочки dstnat ;
log - Просто добавляет информацию о пакете в лог роутера;
masquerade - Тот самый «Маскарад»: подмена внутреннего адреса машины из локальной сети на адрес роутера;
netmap - Отображение одного адреса на другой. Фактически, развитие dst-nat;
passthrough - Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect - Перенаправляет данные на другой порт в пределах роутера;
return - Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same - применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;
src-nat - Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю.
Для наших целей подходит dst-nat и netmap . Последнее является более новым и улучшенным вариантом первого, логично использовать его:

В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports - соответственно, сам порт.
Чтобы не заморачиваться, вместо адреса пишу имя комьютера, и указываю порт:

И нажимаю кнопку Apply , роутер сам находит адрес машины:

Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем

Всё, нажимаем в окошке ввода комментария и ОК в окне ввода правила:

Правило создано, всё работает.

Обратите внимание - дополнительно «открывать» порт не требуется!

Инструкция актуальна для версий прошивки 5 и 6. До версии 7 вряд-ли что-либо изменится.

Стоит рассмотреть такой популярный вопрос, как перенаправление портов на mikrotik.

Проброс портов на роутерах фирмы Microtik можно осуществить несколькими способами, но самый простой - через программу Winbox. Для этого запускаем программу и авторизуемся (по умолчанию логин это – «root», а пароль пустой). Откроется оно настроек роутера, где вам нужно найти вкладку «IP», затем вкладку «Firewall» и наконец, нажать на вкладку «Nat»

Нажмите на кнопку «плюс», после чего откроется основное окно настройки портов mikrotik.

Как настроить проброс портов на роутере mikrotik?

Давайте поподробнее рассмотрим настройки в этом окне:

  • - Chain – основное правило, указывающее направление потока данных (из сети или в сеть). В нашем случае устанавливаем dst-nat.
  • - Src. Address – адрес одного источника из всемирной сети (желательно оставлять пустым).
  • - Dst. Address – конечный адрес нашего роутера (если оставить поле пустым, то потребуется указать его во вкладке In Interface).
  • - Protocol - основное значение, которое нужно указать для назначения порта (в нашем случае это TCP).
  • - Src. Port - исходящий порт (инициация порта удаленной машины, в основном поле остается пустым).
  • - Dst. Port – основной порт назначения (порт, в котором нужно указать значение: например, 80).
  • - Any. Port – любой порт как исходящий, так и входящий (в основном это поле можно оставить пустым).
  • - In. Interface – интерфейс, через который просматривается указанный порт (нужно указать интерфейс подключения интернета).

Так как остальные вкладки нам не нужны, перейдем на вкладку «Action».

Необходимо выбрать из ниспадающего списка действие, которое вам нужно:

  • dst-nat – переадресация пакетов из внешней сети (именно этот пункт вам и стоит выбрать).
  • - Action - выберите тот же пункт, что и в вкладке «Chain».
  • - To Addresses – ip адрес видеорегистратора и сервера, на который мы делаем проброс порта mikrotik.
  • - To Ports – укажите порт веб сервера.

Если вы нажмете кнопку «Apple», то роутер сам может добавить адрес и порт (если он был заранее прописан).

После того как настройки заполнены, желательно указать комментарии - для чего было создано данное правило (чтобы не запутаться). Для этого нажмите на кнопку «Comments» и заполните поле. После чего нажмите два раза кнопку «ОК».

Что нужно знать при настройке переадресации mikrotik?

В принципе, настройка проброса портов закончена, но есть один нюанс. Дело в том, что сервер самого роутера mikrotik работает на 80 порту. И если вам необходимо пробросить данный порт, то тогда нужно зайти на вкладку «IP», потом «Services» и изменить настройки порта веб сервера на любой другой, который не используется.

Необходимо отметить, что если вы хотите пробросить несколько портов, то в поле «To Ports» укажите номера портов через запятые (например, 80,554,и т.п.)

Это наиболее простой метод проброса портов на микротик: если он не сработал, то вам следует убедиться, что в правилах настройки файрвола нет запретов. Учтите, что и антивирусы, и при настройке также могут блокировать весь исходящий трафик.

Также проброс портов можно прописывать с помощью скриптов. Однако это значительно более сложный и трудоемкий процесс.

Проброс портов это технология, позволяющая получать доступ к устройствам в локальной сети из-вне. Это происходит за счет правила, которое работает по условию: если пришел запрос на порт Х (входящий порт), то надо перенаправить трафик на порт Y (исходящий порт) устройства с IP-адресом Z. При этом входящий порт (X) и исходящий порт (Y) могут, как быть одинаковыми, так и различаться.


Для чего нужно?

Проброс портов используется, если надо получить доступ из-вне к терминальному или веб-серверу внутри организации, если используются пиринговые сети. Многопользовательские игры то же иногда используют эту технологию.

Настройка

Для примера мы пробросим 80 порт, он обычно нужен если вы решили разместить у себя в локальной сети веб-сервер с вашим веб-проектом.

В нашем примере: внешний порт маршрутизатора (ether5-WAN1) с адресом 10.1.100.1, внутренний адрес компьютера на котором веб-сервер 192.168.15.15.

Через графический интерфейс

Для того, чтобы пробросить порты надо в меню выбрать IP => Firewall и далее вкладку «NAT». Нажать значок + для добавления нового правила. Далее необходимо выполнить следующие настройки:

  • Вкладка General:
  1. Chain: dstnat
  2. Protocol: указать протокол 6 (tcp)
  3. Dst. Port: указать порт входящего соединения.
  4. In. Interface: выбрать интерфейс входящего соединения

Примечание:

Важно указывать входящий интерфейс, так как в противном случае маршрутизатор может перенаправить трафик с другого интерфейса по создаваемому нами правилу и это может привести к проблемам. Если в приведенном нами примере не указать входящий интерфейс, то в случае попытки из локальной сети открыть сайт по http:// маршрутизатор перенаправит поток на внутренний сервер с адресом 192.168.15.15.
Так же обратите внимание что для других задач, нужно будет указывать другой протокол (к примеру udp) - поэтому вы должны выяснить какие порты и с какими протоколами требуют проброса для вашей задачи (приложения).


  • Вкладка Action:
  1. Action: dst-nat
  2. To Addresses: указать адрес на который надо выполнить проброс
  3. To Ports: указать порт на который надо выполнить проброс

Через консоль

/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether5-WAN1 protocol=tcp to-addresses=192.168.15.15 to-ports=80

Если в качестве входящего порта надо использовать порт, отличный от оригинального. Например, из-вне надо получить доступ по порту 8080, а веб-сервер при этом работает по 80-му порту, то надо соответствующим образом изменить параметр "Destination Port". Dst. Port: в графическом интерфейсе или dst-port в консоли.

Зачастую можно столкнуться с задачами, когда необходимо обеспечить доступ к внутренним корпоративным (или домашним) ресурсам из Интернета. В этом случае, нужно выполнить, так называемый "проброс портов" . Что это такое, зачем это нужно и как настраивать на примере роутера Mikrotik 951Ui-2HnD – расскажем в данной статье.

Как это работает?

Давайте представим себе следующую ситуацию – у нас есть корпоративная сеть, в которой пока ещё локально разворачивается сервер IP-телефонии на базе Asterisk, управляется он при помощи графической оболочки FreePBX. Задача состоит в том, чтобы предоставить возможность администратору сервера управлять им из Интернета.

Итак, имеем следующую схему:


Для начала остановимся на понятии “проброс порта”. Проброс порта – это функционал маршрутизаторов, поддерживающих NAT , который позволяет получить доступ к ресурсам локальной сети, из Интернета по средствам перенаправления трафика определенных портов с внешнего адреса маршрутизатора на внутренний адрес хоста в локальной сети.

Иными словами, мы должны настроить на роутере правило, в котором при поступлении TCP запроса на внешний адрес, в данном случае 35.135.235.15 и определенный порт, например 23535 , открывался бы доступ к интерфейсу FreePBX, который в данным момент доступен только в локальной сети по адресу 192.168.1.100 и, соответственно на порту 80 (HTTP) .

Настройка

Перейдём к настройке. Заходим на адрес нашего роутера Mikrotik 951Ui-2HnD, видим следующее окно:



Скачиваем приложение WinBox . Вводим учётные данные и подключаемся. По умолчанию логин - admin , пароль - пустой. Если у вас уже настроены логин и пароль, то укажите их.




Открывается следующее окно:



Нажимаем на + , открывается страница добавления нового NAT- правила.


Задаём следующие параметры:

  • Chain dstnat - направление запроса из внешней сети во внутреннюю.
  • Protocol tcp , поскольку в нашем случае нужно предоставить доступ к HTTP страничке.
  • Dst.Port 23535 - это тот самый порт назначения, на который будет отправлять запрос из вне на получение доступа к FreePBX.
  • In.Interface all ethernet - входной интерфейс. Это интерфейс, которым роутер смотрит в Интернет и на котором он будет прослушивать указанный выше порт.

Должно получиться вот так:


На вкладках Advanced и Extra настраиваются расширенные опции, такие как лимит по битрейту, политика IPsec, время, в течение которого правило будет активно и так далее.

Переходим на вкладку Action и объясняем роутеру, какие действия он должен выполнить при поступлении запроса на указанный порт. Выбираем Action netmap , то есть трансляция с одного адреса на другой. To Addresses 192.168.1.100 , то есть адрес нашёго FreePBX. И последнее - To Ports 80 , то есть запрос на HTTP порт.