The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Проброс портов Микротик"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Другое оборудование)
Изначальное сообщение [ Отслеживать ]
Курсы по Juniper Junos в Москве и Петербурге
"Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 28-Окт-17, 10:04 
Нужно пробросить 80 порт на внутренний сервер.
пробовал сделать из командной строки:

ip firewall nat add chain=dstnat dst-address=xxx.xxx.xxx.xxx protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.29 to-ports=80

Не работает.
Тоже самое, но с привязкой к интерфейсу через winbox дало аналогичный результат:

https://i.stack.imgur.com/z998O.png
https://i.stack.imgur.com/XSXm6.png

Список правил:

[admin@MikroTik] > /ip firewall export
# oct/28/2017 10:01:44 by RouterOS 6.35
# software id = 356A-NAW9
#
/ip firewall filter
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat out-interface=beeline src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-port=3389 in-interface=beeline protocol=tcp to-addresses=192.168.1.12 to-ports=3389
add action=netmap chain=dstnat dst-port=3389 in-interface=beeline protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.12 to-ports=3389
add chain=srcnat
add action=src-nat chain=srcnat dst-address=192.168.1.12 dst-port=3389 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add action=dst-nat chain=dstnat dst-address=xxx.xxx.xxx.xxx dst-port=80 protocol=tcp to-addresses=192.168.1.29 to-ports=80

Можете подсказать в чём засада?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проброс портов Микротик"  +/
Сообщение от eRIC (ok) on 28-Окт-17, 12:32 
/ip firewall nat add action=netmap chain=dstnat dst-port=80 in-interface=beeline protocol=tcp to-addresses=192.168.1.29 to-ports=80

так же добавить в input и forwad разрешение на интерфейс beeline для приема tcp по порту 80

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 28-Окт-17, 13:00 
> /ip firewall nat add action=netmap chain=dstnat dst-port=80 in-interface=beeline protocol=tcp
> to-addresses=192.168.1.29 to-ports=80
> так же добавить в input и forwad разрешение на интерфейс beeline для
> приема tcp по порту 80

action netmap пробовал - результат тот же. forward тоже добавлял. Инпут, правда, нет. Сейчас попробую.
Меня напрягает, что RDP работает при этом без всяких свистоплясок, а вот 80 нет.
Сервис www на микротике отключён + повешен на другой порт

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 28-Окт-17, 13:05 
>> /ip firewall nat add action=netmap chain=dstnat dst-port=80 in-interface=beeline protocol=tcp
>> to-addresses=192.168.1.29 to-ports=80
>> так же добавить в input и forwad разрешение на интерфейс beeline для
>> приема tcp по порту 80
> action netmap пробовал - результат тот же. forward тоже добавлял. Инпут, правда,
> нет. Сейчас попробую.
> Меня напрягает, что RDP работает при этом без всяких свистоплясок, а вот
> 80 нет.
> Сервис www на микротике отключён + повешен на другой порт

результат по прежнему нулевой :(

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проброс портов Микротик"  +/
Сообщение от eRIC (ok) on 28-Окт-17, 13:07 
сам веб сервер 192.168.1.29 выходит через микротик и beeline интерфейс?
по идее netmap'ом все хозяйство заворачивается. возможно у вас в одну сторону трафик идёт, а вот обратно нет.

поробуйте с правилами поиграть и временно отключить, и последне правило по умолчанию на прием выставить

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Проброс портов Микротик"  +/
Сообщение от DN (ok) on 28-Окт-17, 16:45 
> сам веб сервер 192.168.1.29 выходит через микротик и beeline интерфейс?

Microtik какой адрес от Beeline получает ?
Случайно не из Shared Address Space ( https://tools.ietf.org/html/rfc6598 ) ?


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 28-Окт-17, 16:48 
>> сам веб сервер 192.168.1.29 выходит через микротик и beeline интерфейс?
> Microtik какой адрес от Beeline получает ?
> Случайно не из Shared Address Space ( https://tools.ietf.org/html/rfc6598 ) ?

Получает чистый белый статичный адрес (95.31.xx.xx)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 28-Окт-17, 16:49 
> сам веб сервер 192.168.1.29 выходит через микротик и beeline интерфейс?
> по идее netmap'ом все хозяйство заворачивается. возможно у вас в одну сторону
> трафик идёт, а вот обратно нет.
> поробуйте с правилами поиграть и временно отключить, и последне правило по умолчанию
> на прием выставить

Да. Инет работает.
Это рабочая станция одного из разработчиков. Ему необходимо свой проект наружу показать, а не получается :(
Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет, потом тишина. Обратного "рукопожатия" нет.

ipconfig
Ethernet adapter Ethernet:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Контроллер семейства Realtek PCIe GBE
   Физический адрес. . . . . . . . . : 08-62-66-49-62-1E
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::b49a:2997:4345:3000%3(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.29(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1
   IAID DHCPv6 . . . . . . . . . . . : 50881126
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1D-F3-A4-10-08-62-66-49-62-1E

   DNS-серверы. . . . . . . . . . . : 192.168.1.1
   NetBios через TCP/IP. . . . . . . . : Включен

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Проброс портов Микротик"  +/
Сообщение от eRIC (ok) on 28-Окт-17, 17:45 
> Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет,
> потом тишина. Обратного "рукопожатия" нет.

как я и говорил, обратки нет. а ты в сети на своей компе 192.168.1.29 сайт открываешь нормально?

выставим всем правилам Disable и оставь только в нате SNAT c Masquerade и DNAT с netmap, если отрабатывает, включай по одному правилу и проверяй. RDP правила норм, должны так же работать а вот остальные правила видно что у тебя дефолтные или копи-паст

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 28-Окт-17, 17:52 
>> Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет,
>> потом тишина. Обратного "рукопожатия" нет.
> как я и говорил, обратки нет. а ты в сети на своей
> компе 192.168.1.29 сайт открываешь нормально?
> выставим всем правилам Disable и оставь только в нате SNAT c Masquerade
> и DNAT с netmap, если отрабатывает, включай по одному правилу и
> проверяй. RDP правила норм, должны так же работать а вот остальные
> правила видно что у тебя дефолтные или копи-паст

Открывается нормально. Я ради теста пробросил на него RDP - и всё завелось без проблем. Но вот 80 - ни в какую.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Проброс портов Микротик"  +/
Сообщение от ыы on 28-Окт-17, 18:24 
>>> Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет,
>>> потом тишина. Обратного "рукопожатия" нет.
>> как я и говорил, обратки нет. а ты в сети на своей
>> компе 192.168.1.29 сайт открываешь нормально?
>> выставим всем правилам Disable и оставь только в нате SNAT c Masquerade
>> и DNAT с netmap, если отрабатывает, включай по одному правилу и
>> проверяй. RDP правила норм, должны так же работать а вот остальные
>> правила видно что у тебя дефолтные или копи-паст
> Открывается нормально. Я ради теста пробросил на него RDP - и всё
> завелось без проблем. Но вот 80 - ни в какую.

вас совсем-совсем не смущает что для проброса rdp вы задействуете 3 правила а для проброса 80 порта- упорно пытаетесь использовать одно?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 28-Окт-17, 18:47 
>[оверквотинг удален]
>>> как я и говорил, обратки нет. а ты в сети на своей
>>> компе 192.168.1.29 сайт открываешь нормально?
>>> выставим всем правилам Disable и оставь только в нате SNAT c Masquerade
>>> и DNAT с netmap, если отрабатывает, включай по одному правилу и
>>> проверяй. RDP правила норм, должны так же работать а вот остальные
>>> правила видно что у тебя дефолтные или копи-паст
>> Открывается нормально. Я ради теста пробросил на него RDP - и всё
>> завелось без проблем. Но вот 80 - ни в какую.
> вас совсем-совсем не смущает что для проброса rdp вы задействуете 3 правила
> а для проброса 80 порта- упорно пытаетесь использовать одно?

Остальные два нужны для обращения изнутри сети к внешнему адресу.
Впрочем их я тоже создавал, так как они тоже нужны для тех же целей. Но эффект нулевой - через них не идёт ни один байт трафика.

root@vadim:~# curl --connect-timeout 5 http://xxx.xxx.ru
curl: (28) Connection timed out after 5000 milliseconds
root@vadim:~#

А вот результат с "тремя" правилами. Эффекта, увы, нет:

[admin@MikroTik] > /ip firewall export
# oct/28/2017 18:45:19 by RouterOS 6.35
# software id = 356A-NAW9
#
/ip firewall filter
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat out-interface=beeline src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=192.168.1.0/24
add action=netmap chain=dstnat comment=WWW dst-port=80 in-interface=beeline protocol=tcp to-addresses=192.168.1.29 to-ports=80
add action=netmap chain=dstnat dst-port=80 in-interface=beeline protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.29 to-ports=80
add action=src-nat chain=srcnat dst-address=192.168.1.29 dst-port=80 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add action=netmap chain=dstnat dst-port=3389 in-interface=beeline protocol=tcp to-addresses=192.168.1.12 to-ports=3389
add action=netmap chain=dstnat dst-port=3389 in-interface=beeline protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.12 to-ports=3389
add action=src-nat chain=srcnat dst-address=192.168.1.12 dst-port=3389 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add chain=srcnat

Я уже начинаю подозревать что у разраба на компе есть какая-то хрень, которая саботирует трафик на порты 80/8080.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 28-Окт-17, 19:57 
> Я уже начинаю подозревать что у разраба на компе есть какая-то хрень,
> которая саботирует трафик на порты 80/8080.

не, это проблема чисто на микротике. Я поднял вебсервер на компе к которому проброшен RDP(192.168.1.12) и перенастроил правила на проброс 80 порта к нему. тот же результат :(

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Проброс портов Микротик"  +/
Сообщение от DN (ok) on 29-Окт-17, 13:01 
> не, это проблема чисто на микротике. Я поднял вебсервер на компе к
> которому проброшен RDP(192.168.1.12) и перенастроил правила на проброс 80 порта к
> нему. тот же результат :(

Посмотрите запущенные на микротике сервисы (IP Service List: www, www-ssl).

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 30-Окт-17, 09:58 
>> не, это проблема чисто на микротике. Я поднял вебсервер на компе к
>> которому проброшен RDP(192.168.1.12) и перенастроил правила на проброс 80 порта к
>> нему. тот же результат :(
> Посмотрите запущенные на микротике сервисы (IP Service List: www, www-ssl).

отключены + на других портах висят (8888,8443)

[admin@MikroTik] >  ip service print
Flags: X - disabled, I - invalid
#   NAME      PORT ADDRESS                                        CERTIFICATE  
0   telnet      23
1   ftp         21
2 XI www       8888
3   ssh         22
4 XI www-ssl   8443                                                none          
5   api       8728
6   winbox    8291
7   api-ssl   8729                                                none          

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

10. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 28-Окт-17, 17:59 
>> Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет,
>> потом тишина. Обратного "рукопожатия" нет.
> как я и говорил, обратки нет. а ты в сети на своей
> компе 192.168.1.29 сайт открываешь нормально?
> выставим всем правилам Disable и оставь только в нате SNAT c Masquerade
> и DNAT с netmap, если отрабатывает, включай по одному правилу и
> проверяй. RDP правила норм, должны так же работать а вот остальные
> правила видно что у тебя дефолтные или копи-паст

не, не работает. telnet c mikrotik нормально подключается, а вот проброс не работает.

[admin@MikroTik] > system telnet 192.168.1.29 80
Trying 192.168.1.29...
Connected to 192.168.1.29.
Escape character is '^]'.

^[
HTTP/1.1 400 Bad Request
Server: nginx/1.11.7
Date: Sat, 28 Oct 2017 14:42:36 GMT
Content-Type: text/html
Content-Length: 173
Connection: close

<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx/1.11.7</center>
</body>
</html>
Connection closed by foreign host.

Welcome back!
[admin@MikroTik] >

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Проброс портов Микротик"  +/
Сообщение от jessicawhite999 (ok) on 30-Окт-17, 13:15 
>[оверквотинг удален]
> <html>
> <head><title>400 Bad Request</title></head>
> <body bgcolor="white">
> <center><h1>400 Bad Request</h1></center>
> <hr><center>nginx/1.11.7</center>
> </body>
> </html>
> Connection closed by foreign host.
> Welcome back!
> [admin@MikroTik] >

Полезные статьи, спасибо за вклад автора

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 31-Окт-17, 10:00 
>[оверквотинг удален]
>> <head><title>400 Bad Request</title></head>
>> <body bgcolor="white">
>> <center><h1>400 Bad Request</h1></center>
>> <hr><center>nginx/1.11.7</center>
>> </body>
>> </html>
>> Connection closed by foreign host.
>> Welcome back!
>> [admin@MikroTik] >
> Полезные статьи, спасибо за вклад автора

Если вы про Конт - рад, что были интересны Вам.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Проброс портов Микротик"  +/
Сообщение от eRIC (ok) on 04-Ноя-17, 22:12 
получилось решить? пробовали к примеру 9999 на 80 порт переправить внутри и проверить как идет соединение?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Проброс портов Микротик"  +/
Сообщение от летнаб (ok) on 09-Ноя-17, 09:56 
> получилось решить? пробовали к примеру 9999 на 80 порт переправить внутри и
> проверить как идет соединение?

Увы. 80-й порт ни в какую. На другом порту всё работает отлично. Так что, остановились на этом решении, хотя оно и не самое оптимальное для нас, по ряду причин.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor