Открытие портов на микротике

Обсуждение ПО и его настройки
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Для этого не нужен скрипт.
Если у вас в firewall’е пусто (что в реальной жизни конечно делать нельзя), то технически у вас все порты открыты, и достаточно правил dst-nat.
Аналогично с заводским firewall’ом - в него уже добавлено правило пропускать (открывать) все, что вы пробрасываете в dst-nat.


Telegram: @thexvo
Proger125
Сообщения: 22
Зарегистрирован: 14 май 2022, 17:25

1. Белый IP
2. IP/NAT проброс порта до службы, если служба, например, на другом IP в Lan, т.е. если служба не микротик.
3. IP/Firewall разрешение Accept для новых/установленных соединений на данном порту. И не путайте цепи Input и Forward. Это правило актуально, если конечно есть общий drop всего оставшегося в конце списка правил.


dstnat
Сообщения: 12
Зарегистрирован: 26 ноя 2022, 12:23

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=443 action=dst-nat to-address=192.168.1.10 to-port=443
/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.10 protocol=tcp dst-port=443 out-interface=LAN action=masquerade

при таких правилах счетчик считает, но сканер портов показывает недоступность порта


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну а по факту?


Telegram: @thexvo
Proger125
Сообщения: 22
Зарегистрирован: 14 май 2022, 17:25

dstnat писал(а): 27 ноя 2022, 08:45 при таких правилах счетчик считает, но сканер портов показывает недоступность порта
192.168.1.10 это что ? PC?
Там брандмауэр разрешён на эти порты?
Запустите на этом PC монитор сетевой активности и посмотрите трафик.

Можно также mikrotik/tools/torch или mikrotik/tools/packet sniffer + wireshark'ом на 192.168.1.10 увидеть всё необходимое.

443 порт... Если это какая нибудь вебка на linux в lan то там надо ещё и iptables и nginx.conf смотреть к примеру... Если centos, то iptables -L -v -n и ss -putona всё покажут.

Много неизвестных данных, косяк может в разных местах прятаться по пути до запущенного сервиса. Дело может быть совсем не в микротике.


dstnat
Сообщения: 12
Зарегистрирован: 26 ноя 2022, 12:23

По факту подключена статика на микротик, в лан порт подключен один комп тестовый, без выхода в локалку, я его сейчас настраиваю, и проверяю открытость портов до того как я его включу в локальную сеть, так вот мне надо открыть на микротике определенные порты, и я так понимаю мне надо ip назначения указывать комп для теста, для проверки портов? Или нет?


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

dstnat писал(а): 28 ноя 2022, 07:35 По факту подключена статика на микротик, в лан порт подключен один комп тестовый, без выхода в локалку, я его сейчас настраиваю, и проверяю открытость портов до того как я его включу в локальную сеть, так вот мне надо открыть на микротике определенные порты, и я так понимаю мне надо ip назначения указывать комп для теста, для проверки портов? Или нет?
Да, именно так.... Только не забудьте, что на том устройстве куда перенаправляете трафик - кто-то должен этот порт "слушать".


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
dstnat
Сообщения: 12
Зарегистрирован: 26 ноя 2022, 12:23

А если я открываю порт на микротике, то адрес назначения я прописываю ip внутренний микрота?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну с какого перепуга-то? Ну конечно IP адрес того устройства (компа) который в итоге это соединение должен принять.
И если у вас там комп, то в нем тоже есть свой фаерволл, его тоже надо настраивать. Особенно, если там Касперский, ДрВеб и прочее с фаерволлом.

Если честно, две страницы разговоров в пустую.
Напишите четко и ясно, что вам нужно, для чего и что за устройство после микротика, и по каким портам оно ждет входящее соединение. Что это за задача и какая прога?
А то похоже, сейчас выяснится, что это все для исходящих соединений.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

dstnat писал(а): 28 ноя 2022, 07:35 По факту подключена статика на микротик, в лан порт подключен один комп тестовый, без выхода в локалку, я его сейчас настраиваю, и проверяю открытость портов до того как я его включу в локальную сеть, так вот мне надо открыть на микротике определенные порты, и я так понимаю мне надо ip назначения указывать комп для теста, для проверки портов? Или нет?
Вы прокидываете 443 порт - на комп в локалке, вот я и спрашиваю - по факту он открывается, страница грузится?
Без всяких сканеров и прочего.


Telegram: @thexvo
Ответить