проброс порта, что то делаю не так помогите

[vic]

Здравия всем.

Имею mikrotik 915 прошивка последняя 6,7

Была необходимость открыть в мир 21 порт для доступа к офисным шарам, сделал правило
/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=21 protocol=tcp to-addresses=192.168.88.10 to-ports=21

порт засветился, я довольный стал пользоваться удаленным доступам к шаре, но только недавно обратил внимание что мне теперь недоступны все фтп сервера во внешнем мире если я к ним обращаюсь из офисной сети, как ни странно но меня везде спрашивают пароль но от имени того хоста к которому я обращался, задумавшись что за ерунда такая я пробросил таким же правило 80 порт и вуаля набирая любой адрес интернета я попадал на офисный web сервер. Значит я что то сделал не так прошу помощи.

[plin2s]

У вас правило составлено недостаточно точно. Думаю, для начала, будет достаточно в правиле уточнить на какой интерфейс или из какой сети будут приходить запросы.

Я бы добавил:

Код: Выделить всё

src-address=!192.168.88.0/24

Восклицательный знак значит "все кроме" дальше идет адрес моей локальной сети.
Получается, что все что приходит не из 192.168.88.0/24 на нужный порт - будет обработано правилом.

По аналогии можно сделать с in-interface. А возможно и другие варианты подскажет кто-нибудь.

[vqd]

Еще посмотрите отключен ли у вас сервис на микротике
/ip service

[duronus]

А netmap не проще юзать?
Даже правило прописывать не нада (кроме самого нетмапа)

[Elektronik123]

Просто укажите в правиле через винбокс, или измените правило, что бы был входящий интерфейс ваш ван, порт, в который воткнут кабель провайдера. Иначе, т.к. не указан интерфейс, правило распостраняется на все, и ваш запрос на этот порт перенаправляет на ваш же фтп

[vic]

Всем спасибо, решил воспользоваться советом от duronus просто удобно и все в одном месте.