Нужно пробросить 80 порт на внутренний сервер.
пробовал сделать из командной строки:ip firewall nat add chain=dstnat dst-address=xxx.xxx.xxx.xxx protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.29 to-ports=80
Не работает.
Тоже самое, но с привязкой к интерфейсу через winbox дало аналогичный результат:https://i.stack.imgur.com/z998O.png
https://i.stack.imgur.com/XSXm6.pngСписок правил:
[admin@MikroTik] > /ip firewall export
# oct/28/2017 10:01:44 by RouterOS 6.35
# software id = 356A-NAW9
#
/ip firewall filter
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat out-interface=beeline src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-port=3389 in-interface=beeline protocol=tcp to-addresses=192.168.1.12 to-ports=3389
add action=netmap chain=dstnat dst-port=3389 in-interface=beeline protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.12 to-ports=3389
add chain=srcnat
add action=src-nat chain=srcnat dst-address=192.168.1.12 dst-port=3389 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add action=dst-nat chain=dstnat dst-address=xxx.xxx.xxx.xxx dst-port=80 protocol=tcp to-addresses=192.168.1.29 to-ports=80Можете подсказать в чём засада?
/ip firewall nat add action=netmap chain=dstnat dst-port=80 in-interface=beeline protocol=tcp to-addresses=192.168.1.29 to-ports=80так же добавить в input и forwad разрешение на интерфейс beeline для приема tcp по порту 80
> /ip firewall nat add action=netmap chain=dstnat dst-port=80 in-interface=beeline protocol=tcp
> to-addresses=192.168.1.29 to-ports=80
> так же добавить в input и forwad разрешение на интерфейс beeline для
> приема tcp по порту 80action netmap пробовал - результат тот же. forward тоже добавлял. Инпут, правда, нет. Сейчас попробую.
Меня напрягает, что RDP работает при этом без всяких свистоплясок, а вот 80 нет.
Сервис www на микротике отключён + повешен на другой порт
>> /ip firewall nat add action=netmap chain=dstnat dst-port=80 in-interface=beeline protocol=tcp
>> to-addresses=192.168.1.29 to-ports=80
>> так же добавить в input и forwad разрешение на интерфейс beeline для
>> приема tcp по порту 80
> action netmap пробовал - результат тот же. forward тоже добавлял. Инпут, правда,
> нет. Сейчас попробую.
> Меня напрягает, что RDP работает при этом без всяких свистоплясок, а вот
> 80 нет.
> Сервис www на микротике отключён + повешен на другой портрезультат по прежнему нулевой :(
сам веб сервер 192.168.1.29 выходит через микротик и beeline интерфейс?
по идее netmap'ом все хозяйство заворачивается. возможно у вас в одну сторону трафик идёт, а вот обратно нет.поробуйте с правилами поиграть и временно отключить, и последне правило по умолчанию на прием выставить
> сам веб сервер 192.168.1.29 выходит через микротик и beeline интерфейс?Microtik какой адрес от Beeline получает ?
Случайно не из Shared Address Space ( https://tools.ietf.org/html/rfc6598 ) ?
>> сам веб сервер 192.168.1.29 выходит через микротик и beeline интерфейс?
> Microtik какой адрес от Beeline получает ?
> Случайно не из Shared Address Space ( https://tools.ietf.org/html/rfc6598 ) ?Получает чистый белый статичный адрес (95.31.xx.xx)
> сам веб сервер 192.168.1.29 выходит через микротик и beeline интерфейс?
> по идее netmap'ом все хозяйство заворачивается. возможно у вас в одну сторону
> трафик идёт, а вот обратно нет.
> поробуйте с правилами поиграть и временно отключить, и последне правило по умолчанию
> на прием выставитьДа. Инет работает.
Это рабочая станция одного из разработчиков. Ему необходимо свой проект наружу показать, а не получается :(
Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет, потом тишина. Обратного "рукопожатия" нет.ipconfig
Ethernet adapter Ethernet:DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Контроллер семейства Realtek PCIe GBE
Физический адрес. . . . . . . . . : 08-62-66-49-62-1E
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::b49a:2997:4345:3000%3(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.29(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.1
IAID DHCPv6 . . . . . . . . . . . : 50881126
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1D-F3-A4-10-08-62-66-49-62-1EDNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен
> Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет,
> потом тишина. Обратного "рукопожатия" нет.как я и говорил, обратки нет. а ты в сети на своей компе 192.168.1.29 сайт открываешь нормально?
выставим всем правилам Disable и оставь только в нате SNAT c Masquerade и DNAT с netmap, если отрабатывает, включай по одному правилу и проверяй. RDP правила норм, должны так же работать а вот остальные правила видно что у тебя дефолтные или копи-паст
>> Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет,
>> потом тишина. Обратного "рукопожатия" нет.
> как я и говорил, обратки нет. а ты в сети на своей
> компе 192.168.1.29 сайт открываешь нормально?
> выставим всем правилам Disable и оставь только в нате SNAT c Masquerade
> и DNAT с netmap, если отрабатывает, включай по одному правилу и
> проверяй. RDP правила норм, должны так же работать а вот остальные
> правила видно что у тебя дефолтные или копи-пастОткрывается нормально. Я ради теста пробросил на него RDP - и всё завелось без проблем. Но вот 80 - ни в какую.
>>> Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет,
>>> потом тишина. Обратного "рукопожатия" нет.
>> как я и говорил, обратки нет. а ты в сети на своей
>> компе 192.168.1.29 сайт открываешь нормально?
>> выставим всем правилам Disable и оставь только в нате SNAT c Masquerade
>> и DNAT с netmap, если отрабатывает, включай по одному правилу и
>> проверяй. RDP правила норм, должны так же работать а вот остальные
>> правила видно что у тебя дефолтные или копи-паст
> Открывается нормально. Я ради теста пробросил на него RDP - и всё
> завелось без проблем. Но вот 80 - ни в какую.вас совсем-совсем не смущает что для проброса rdp вы задействуете 3 правила а для проброса 80 порта- упорно пытаетесь использовать одно?
>[оверквотинг удален]
>>> как я и говорил, обратки нет. а ты в сети на своей
>>> компе 192.168.1.29 сайт открываешь нормально?
>>> выставим всем правилам Disable и оставь только в нате SNAT c Masquerade
>>> и DNAT с netmap, если отрабатывает, включай по одному правилу и
>>> проверяй. RDP правила норм, должны так же работать а вот остальные
>>> правила видно что у тебя дефолтные или копи-паст
>> Открывается нормально. Я ради теста пробросил на него RDP - и всё
>> завелось без проблем. Но вот 80 - ни в какую.
> вас совсем-совсем не смущает что для проброса rdp вы задействуете 3 правила
> а для проброса 80 порта- упорно пытаетесь использовать одно?Остальные два нужны для обращения изнутри сети к внешнему адресу.
Впрочем их я тоже создавал, так как они тоже нужны для тех же целей. Но эффект нулевой - через них не идёт ни один байт трафика.root@vadim:~# curl --connect-timeout 5 http://xxx.xxx.ru
curl: (28) Connection timed out after 5000 milliseconds
root@vadim:~#А вот результат с "тремя" правилами. Эффекта, увы, нет:
[admin@MikroTik] > /ip firewall export
# oct/28/2017 18:45:19 by RouterOS 6.35
# software id = 356A-NAW9
#
/ip firewall filter
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat out-interface=beeline src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=192.168.1.0/24
add action=netmap chain=dstnat comment=WWW dst-port=80 in-interface=beeline protocol=tcp to-addresses=192.168.1.29 to-ports=80
add action=netmap chain=dstnat dst-port=80 in-interface=beeline protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.29 to-ports=80
add action=src-nat chain=srcnat dst-address=192.168.1.29 dst-port=80 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add action=netmap chain=dstnat dst-port=3389 in-interface=beeline protocol=tcp to-addresses=192.168.1.12 to-ports=3389
add action=netmap chain=dstnat dst-port=3389 in-interface=beeline protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.12 to-ports=3389
add action=src-nat chain=srcnat dst-address=192.168.1.12 dst-port=3389 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add chain=srcnatЯ уже начинаю подозревать что у разраба на компе есть какая-то хрень, которая саботирует трафик на порты 80/8080.
> Я уже начинаю подозревать что у разраба на компе есть какая-то хрень,
> которая саботирует трафик на порты 80/8080.не, это проблема чисто на микротике. Я поднял вебсервер на компе к которому проброшен RDP(192.168.1.12) и перенастроил правила на проброс 80 порта к нему. тот же результат :(
> не, это проблема чисто на микротике. Я поднял вебсервер на компе к
> которому проброшен RDP(192.168.1.12) и перенастроил правила на проброс 80 порта к
> нему. тот же результат :(Посмотрите запущенные на микротике сервисы (IP Service List: www, www-ssl).
>> не, это проблема чисто на микротике. Я поднял вебсервер на компе к
>> которому проброшен RDP(192.168.1.12) и перенастроил правила на проброс 80 порта к
>> нему. тот же результат :(
> Посмотрите запущенные на микротике сервисы (IP Service List: www, www-ssl).отключены + на других портах висят (8888,8443)
[admin@MikroTik] > ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23
1 ftp 21
2 XI www 8888
3 ssh 22
4 XI www-ssl 8443 none
5 api 8728
6 winbox 8291
7 api-ssl 8729 none
>> Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет,
>> потом тишина. Обратного "рукопожатия" нет.
> как я и говорил, обратки нет. а ты в сети на своей
> компе 192.168.1.29 сайт открываешь нормально?
> выставим всем правилам Disable и оставь только в нате SNAT c Masquerade
> и DNAT с netmap, если отрабатывает, включай по одному правилу и
> проверяй. RDP правила норм, должны так же работать а вот остальные
> правила видно что у тебя дефолтные или копи-пастне, не работает. telnet c mikrotik нормально подключается, а вот проброс не работает.
[admin@MikroTik] > system telnet 192.168.1.29 80
Trying 192.168.1.29...
Connected to 192.168.1.29.
Escape character is '^]'.^[
HTTP/1.1 400 Bad Request
Server: nginx/1.11.7
Date: Sat, 28 Oct 2017 14:42:36 GMT
Content-Type: text/html
Content-Length: 173
Connection: close<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx/1.11.7</center>
</body>
</html>
Connection closed by foreign host.Welcome back!
[admin@MikroTik] >
>[оверквотинг удален]
> <html>
> <head><title>400 Bad Request</title></head>
> <body bgcolor="white">
> <center><h1>400 Bad Request</h1></center>
> <hr><center>nginx/1.11.7</center>
> </body>
> </html>
> Connection closed by foreign host.
> Welcome back!
> [admin@MikroTik] >Полезные статьи, спасибо за вклад автора
>[оверквотинг удален]
>> <head><title>400 Bad Request</title></head>
>> <body bgcolor="white">
>> <center><h1>400 Bad Request</h1></center>
>> <hr><center>nginx/1.11.7</center>
>> </body>
>> </html>
>> Connection closed by foreign host.
>> Welcome back!
>> [admin@MikroTik] >
> Полезные статьи, спасибо за вклад автораЕсли вы про Конт - рад, что были интересны Вам.
получилось решить? пробовали к примеру 9999 на 80 порт переправить внутри и проверить как идет соединение?
> получилось решить? пробовали к примеру 9999 на 80 порт переправить внутри и
> проверить как идет соединение?Увы. 80-й порт ни в какую. На другом порту всё работает отлично. Так что, остановились на этом решении, хотя оно и не самое оптимальное для нас, по ряду причин.
>> получилось решить? пробовали к примеру 9999 на 80 порт переправить внутри и
>> проверить как идет соединение?
> Увы. 80-й порт ни в какую. На другом порту всё работает отлично.
> Так что, остановились на этом решении, хотя оно и не самое
> оптимальное для нас, по ряду причин.ip service disable www
и будет Вам щастье