настроил проброс порта 22
chain=dstnat action=dst-nat to-addresses=192.168.2.9 to-ports=22 protocol=tcp dst-address=xx.xx.xx.xx dst-port=22 log=no
log-prefix="---"
добавил разрешение в FW
0 ;;; server SP
chain=forward action=accept protocol=tcp in-interface-list=WAN dst-port=22 log=no log-prefix="*****"
все работает.
как только меняю порт назначения с 22 на любой другой к примеру 2222.
FW перестает ловить пакеты и и они летят в следущие правило у меня оно дроп всех форводов на wan
правлю порт назначения
chain=dstnat action=dst-nat to-addresses=192.168.2.9 to-ports=22 protocol=tcp dst-address=xx.xx.xx.xx dst-port=2222 log=no
log-prefix="---"
правлю порт назначения в FW
chain=forward action=accept protocol=tcp in-interface-list=WAN dst-port=2222 log=no log-prefix="*****"
что я пропустил подскажите пожалуйста ?
лог дропа
------->>>> forward: in:PPPoE out:bridge1, proto TCP (SYN), 17.xx.xx.xx:43492->192.168.2.9:22, NAT 17.xx.xx.xx:43492->(6.xx.xx.xx:2222->192.168.2.9:22), len 44
смена дефолтного ssh порта на рандомный
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Править firewall не надо.
До него пакет доходит с уже измененным dst-nat'ом портом.
А вообще достаточно в firewall'е добавить универсальное правило:
/ip firewall filter add chain=forward action=accept connection-nat-state=dstnat
До него пакет доходит с уже измененным dst-nat'ом портом.
А вообще достаточно в firewall'е добавить универсальное правило:
/ip firewall filter add chain=forward action=accept connection-nat-state=dstnat
Telegram: @thexvo