Russian Users MikroTik | Форум пользователей MikroTik

Для этого не нужен скрипт.
Если у вас в firewall’е пусто (что в реальной жизни конечно делать нельзя), то технически у вас все порты открыты, и достаточно правил dst-nat.
Аналогично с заводским firewall’ом - в него уже добавлено правило пропускать (открывать) все, что вы пробрасываете в dst-nat.

1. Белый IP
2. IP/NAT проброс порта до службы, если служба, например, на другом IP в Lan, т.е. если служба не микротик.
3. IP/Firewall разрешение Accept для новых/установленных соединений на данном порту. И не путайте цепи Input и Forward. Это правило актуально, если конечно есть общий drop всего оставшегося в конце списка правил.

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=443 action=dst-nat to-address=192.168.1.10 to-port=443
/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.10 protocol=tcp dst-port=443 out-interface=LAN action=masquerade

при таких правилах счетчик считает, но сканер портов показывает недоступность порта

Ну а по факту?

dstnat писал(а): ↑27 ноя 2022, 08:45 при таких правилах счетчик считает, но сканер портов показывает недоступность порта

192.168.1.10 это что ? PC?
Там брандмауэр разрешён на эти порты?
Запустите на этом PC монитор сетевой активности и посмотрите трафик.

Можно также mikrotik/tools/torch или mikrotik/tools/packet sniffer + wireshark'ом на 192.168.1.10 увидеть всё необходимое.

443 порт... Если это какая нибудь вебка на linux в lan то там надо ещё и iptables и nginx.conf смотреть к примеру... Если centos, то iptables -L -v -n и ss -putona всё покажут.

Много неизвестных данных, косяк может в разных местах прятаться по пути до запущенного сервиса. Дело может быть совсем не в микротике.

По факту подключена статика на микротик, в лан порт подключен один комп тестовый, без выхода в локалку, я его сейчас настраиваю, и проверяю открытость портов до того как я его включу в локальную сеть, так вот мне надо открыть на микротике определенные порты, и я так понимаю мне надо ip назначения указывать комп для теста, для проверки портов? Или нет?

dstnat писал(а): ↑28 ноя 2022, 07:35 По факту подключена статика на микротик, в лан порт подключен один комп тестовый, без выхода в локалку, я его сейчас настраиваю, и проверяю открытость портов до того как я его включу в локальную сеть, так вот мне надо открыть на микротике определенные порты, и я так понимаю мне надо ip назначения указывать комп для теста, для проверки портов? Или нет?

Да, именно так.... Только не забудьте, что на том устройстве куда перенаправляете трафик - кто-то должен этот порт "слушать".

А если я открываю порт на микротике, то адрес назначения я прописываю ip внутренний микрота?

Ну с какого перепуга-то? Ну конечно IP адрес того устройства (компа) который в итоге это соединение должен принять.
И если у вас там комп, то в нем тоже есть свой фаерволл, его тоже надо настраивать. Особенно, если там Касперский, ДрВеб и прочее с фаерволлом.

Если честно, две страницы разговоров в пустую.
Напишите четко и ясно, что вам нужно, для чего и что за устройство после микротика, и по каким портам оно ждет входящее соединение. Что это за задача и какая прога?
А то похоже, сейчас выяснится, что это все для исходящих соединений.

dstnat писал(а): ↑28 ноя 2022, 07:35 По факту подключена статика на микротик, в лан порт подключен один комп тестовый, без выхода в локалку, я его сейчас настраиваю, и проверяю открытость портов до того как я его включу в локальную сеть, так вот мне надо открыть на микротике определенные порты, и я так понимаю мне надо ip назначения указывать комп для теста, для проверки портов? Или нет?

Вы прокидываете 443 порт - на комп в локалке, вот я и спрашиваю - по факту он открывается, страница грузится?
Без всяких сканеров и прочего.