Mikrotik — Настройка NAT переадресации портов в практических целях. Часть 3.

Все Вы встречались с необходимостью переадресации портов с внешнего айпишника на адреса внутренней (локальной) сети. Я расскажу как просто это делается на Mikrotik. Во-первых, не забываем одну простую и понятную вещь – локальные ip-шники на которые переадресуем порты из вне, должны использовать микротик в качестве шлюза, если этого не сделано то ничего не получиться. В случае если Вы настроили DHCP в локальной сети и машины получили ip адреса розданные Mikrotik’ом то понимаем, что они уже указали в качестве шлюза адрес микротика.

Итак, заходим в Winbox и далее в IP -> Firewall :

1

Далее заходим в вкладку NAT, где у нас ранее настроенный NAT для локальных айпишников, чтобы те могли ходить в инет без прокси (условно):

2

 

Нажимаем на красную кнопку плюс, создаем новое правило:

3

Объясню что где указано – Chain -> dstnat – нат назначения, то есть куда назначается направление пакета

Protocol: в моем случае tcp, можете указать другой, из популярных выборов – udp либо tcp

Dst Port – порт на который стучится соединение, пусть в моем случае будет порт по-умолчанию ip телефонии 5060

In. Interface – в моем случае внешний интерфейс, который поднимает соединение pppoe – называется он pppoe-out1

То есть исходя из этих правил – у нас есть необходимость перекинуть внешний порт 5060 tcp на который стучаться «из вне» (то есть в данном случае с инета) . Далее укажем куда нам перекидывать эти соединения, для этого переходим в вкладку Action:

4

И указываем Action: dst-nat и в поле To Addresses указываем адрес к примеру 192.168.2.2, где у нас условно находиться сервер ip телефонии, так же указываем порт 5060 на который у нас переадресовывается соединение.

Так же, я вношу комментарии дабы потом и я и другой админ быстро смог найти необходимое соединение (условно в случае если нужно перекинуть соединение на другой ip адрес), для этого нажимаем на кнопку Comment:

5

И указываем комментарий, в нашем случае пусть будет так:

6

В итоге получиться вот такая красота с комментарием:

7

Ну и в дополнении. Иной раз наступает необходимость поработать дома, для этого, на рабочем компьютере у меня стоит VNC сервер к которому я легко могу подключиться из вне лишь прописав редирект с микротика. Внешний порт в целях безопасности я указываю какой-нибудь крайне левый (условно 40323) , ну а в редиректе во внутреннюю сеть указываю порт на котором у меня висит VNC сервер. Тоже самое я делаю если мне необходимо настроить и линуксовый сервер через SSH , таким же способом делаю редирект на него и спокойно с домашнего компа делаю необходимые изменения.

В целях большей необходимости/безопасности, тут же можно настроить и список ip адресов с которых разрешен доступ к внешним портам.

К примеру, у Вашей фирмы 10 филиалов, которые используют какой-то сервис куда не хотелось чтобы посторонний глаз имел какой-то доступ. Безусловно, если это HTTP сервер то Вы можете прописать список адресов в настройках веб-сервера, но, по мне куда более безопасней прописать эти адреса на микротике в один лист и использовать на все сервисы (XMPP сервер к примеру, корпоративный портал, терминальный сервер). Для переходим в Address Lists (там же):

8

И добавляем новую запись, нажатием кнопки плюс:

9

Тут же задаем имя нашего списка, в моем случае пусть будет external_access (пишем вручную), далее Address – адрес нашего филиала, либо Ваш айпи адрес для дальнейшего доступа к сервисам.

После этого, переходим к созданному нами редиректу, в вкладку Advanced:

10

Где в Src.Address List указываем название созданного нами списка, нажимаем кнопку Apply и все, теперь мы знаем что если будет иной ip адрес – его просто не пустит к этому порту.

comments powered by HyperComments