Проброс портов с подменой

[gmch]

Добрый день, нужен совет по пробросу портов с подменой в mikrotik RB750.

Суть проблемы -> при обращении на ip роутера, в порт 24050, пакеты попадали на ip в сети предприятия на порт 3389.

Что было предпринято -> настраивал в WinBox, создал правило в "Firewall\Filter Rules" для порта 24050 и 3389, создал соответствующие правила в разделе "Firewall\NAT", прекрасно заработало правило с 3389, а с 24050 правило не работает, счетчики пустые, пакеты уходят в "Drop - Customer", при отключении "Drop - Customer" все работает, но счетчики правила пусты, оно не работает. Firewall настраивал через Web-интерфейс, в старой прошивке, которую обновил, была очень древней и думал, что дело в ней.
Прочитал много всего по ROUTEROS и пробросу портов и все равно никак не могу это решить.

Конфигурация Микротика

 

# jan/22/1970 05:14:44 by RouterOS 6.10
# software id = ZMT6-5NPV
#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] comment=GUEST
set [ find default-name=ether4 ] comment=LAN master-port=ether2
set [ find default-name=ether5 ] master-port=ether2
/ip neighbor discovery
set ether1 comment=WAN
set ether2 comment=LAN
set ether3 comment=GUEST
set ether4 comment=LAN
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip pool
add name=dhcp_pool2 ranges=192.168.7.1,192.168.7.100-192.168.7.150
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=ether3 lease-time=1d name=\
dhcp1
/queue simple
add dst=80.20.202.59/32 max-limit=0/3M name=Director target=192.168.5.16/32
add max-limit=0/2M name="Guest Subnet Queue" target=192.168.7.0/24
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
set 3 remote=0.0.0.0
/ip address
add address=180.60.9.202/30 interface=ether1 network=180.60.9.200
add address=192.168.5.2/24 interface=ether2 network=192.168.5.0
add address=192.168.7.2/24 interface=ether3 network=192.168.7.0
/ip dhcp-server network
add address=192.168.7.0/24 dns-server=192.168.7.2 gateway=192.168.7.2
/ip dns
set allow-remote-requests=yes max-udp-packet-size=512 servers=\
180.60.8.33,180.60.9.1
/ip firewall filter
add chain=input comment="Added by webbox" protocol=icmp
add chain=input comment="Added by webbox" connection-state=established \
in-interface=ether1
add chain=input comment="Added by webbox" connection-state=related \
in-interface=ether1
add action=drop chain=input comment="Added by webbox" in-interface=ether1
add action=jump chain=forward comment="Added by webbox" in-interface=ether1 \
jump-target=customer
add chain=customer comment="Added by webbox" connection-state=established
add chain=customer comment="Added by webbox" connection-state=related
add chain=customer dst-port=24050 protocol=tcp
add chain=customer dst-port=3389 protocol=tcp
add action=drop chain=customer comment="Added by webbox"
/ip firewall nat
add action=masquerade chain=srcnat comment="Added by webbox" out-interface=\
ether1
add action=dst-nat chain=dstnat dst-address=180.60.9.202 dst-port=24050 \
protocol=tcp to-addresses=192.168.5.100 to-ports=3389
add action=dst-nat chain=dstnat dst-address=180.60.9.202 dst-port=3389 \
protocol=tcp to-addresses=192.168.5.100 to-ports=3389
/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip proxy
set max-cache-size=none parent-proxy=0.0.0.0
/ip route
add distance=1 gateway=176.74.9.201
/ip route rule
add action=unreachable dst-address=192.168.7.0/24 src-address=192.168.5.0/24
add action=unreachable dst-address=192.168.5.0/24 src-address=192.168.7.0/24
/ip service
set telnet disabled=yes
set ftp address=192.168.5.0/24
set www address=192.168.5.0/24
/ip upnp
set allow-disable-external-interface=no enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
/queue interface
set ether1 queue=ethernet-default
set ether2 queue=ethernet-default
set ether3 queue=ethernet-default
set ether4 queue=ethernet-default
set ether5 queue=ethernet-default
/system clock
set time-zone-name=Europe/Samara
/tool graphing interface
add
/tool mac-server
add

Искренне благодарен за любую помощь!

[Dragon_Knight]

Так а в чём проблема?

/ip firewall nat add action=dst-nat chain=dstnat dst-address=ВНЕШНИЙ_IP dst-port=24050 protocol=tcp to-addresses=ВНУТРЕННИЙ_IP to-ports=3389

[podarok66]

Dragon_KnightА в цепочке input не надо еще порт 24050 разрешить?
Вроде при пробросе там обращение идет к роутеру, а мы уж потом переадресовываем, по логике вещей надо бы... У него же input закрыт, так что надо бы проверить.
Признаться, никак не дойдут руки проверить самому...

[Dragon_Knight]

Нуда, нада ещё разрешить инпут TCP 24050 на WAN интерфейс.....

[gmch]

Я честно запутался...

Разве этому "/ip firewall nat add action=dst-nat chain=dstnat dst-address=ВНЕШНИЙ_IP dst-port=24050 protocol=tcp to-addresses=ВНУТРЕННИЙ_IP to-ports=3389" не соответствует вот эта строка в конфигурации "add action=dst-nat chain=dstnat dst-address=180.60.9.202 (Внешний IP) dst-port=24050 (Внешний порт) \ protocol=tcp to-addresses=192.168.5.100 (Внутренний IP) to-ports=3389 (Внутренний порт)" ?
Да и это настройки Firewall - NAT он работает правильно, во всяком случае отключение правил в "Firewall - Filter Rules" это показало.

В отношении настройки "Input" - дело в том, что цепочка "Input" обрабатывает трафик предназначенный самому маршрутизатору и не обрабатывает пакеты проходящие сквозь него. Думаю, что здесь ничего открывать не надо и это показывает не активность счетчика правила которое дропает лишний трафик в цепочке "Input", вот оно "add action=drop chain=input comment="Added by webbox" in-interface=ether1" во время попытки подключения через порт 24050.

Редактировать настройки надо в цепочке "Foward" или в моем случае цепочки "Customer" (В последних версиях RouterOS удалено, вместо него используется цепочка "Foward"), потому как это правило "add action=jump chain=forward comment="Added by webbox" in-interface=ether1 \ jump-target=customer" перебрасывает все пакеты в цепочку "Customer". И при попытках подключения растет счетчик пакетов правила, дропающего левый трафик в этой цепочке, а при его отключении правило с портом 24050 работает, точнее не работает, счетчик пакетов молчит. Но соединение работает, потому как отключение дропа в этой цепочке разрешает любой трафик и далее, по идее обрабатываются правила "Firewall - Nat".

Скорее всего вы невнимательно прочитали мои вводные данные, скажите тогда почему у меня исправно работает правило с портом 3389-3389 и почему тогда не работает правило с подменой, 24050-3389?

В любом случае спасибо за совет

[podarok66]

Да пожалуйста, нам не трудно. А читали мы достаточно внимательно, а вот Вы ответы читали вскользь, там всё расписано по шагам...
Тема закрыта.