Перенаправление запросов (проброс портов) на Mikrotik

Обновлено Обновлено: Опубликовано Опубликовано:

Инструкция описывает процесс настройки перенаправления сетевых запросов с внешнего подключения на компьютеры в локальной сети.

Настройка проброса

Переходим по разделам IP - Firewall - NAT - Add New:

Настройка проброса портов в Mikrotik

Далее настройка выполняется в зависимости от того, какой сервис нужно опубликовать.

Примеры пробросов

RDP (удаленный рабочий стол)

  • Chain — dstnat;
  • Dst. Address — внешний IP-адрес;
  • Protocol — rdp;
  • Action — dst-nat;
  • To Address — IP-адрес сервера, на который должно идти перенаправление.

Пример настройки проброса RDP для Mikrotik 
Пример настройки проброса RDP для Mikrotik

* если данная настройка не сработает, меняем протокол на tcp и задаем порт RDP — по умолчанию, 3389.

WWW (80 или веб-сервер или http)

  • Chain — dstnat;
  • Dst. Address — внешний IP-адрес;
  • Protocol — tcp;
  • Dst. Port — 80;
  • Action — dst-nat;
  • To Address — IP-адрес сервера, на который должно идти перенаправление.

Пример настройки проброса 80 порта для Mikrotik
Пример настройки проброса 80 порта для Mikrotik

HTTPS

Настройка та же, что для 80 порта, но в место 80 пишем 443.

FTP

  • Chain — dstnat;
  • Dst. Address — внешний IP-адрес;
  • Protocol — tcp;
  • Dst. Port — 20,21;
  • Action — dst-nat;
  • To Address — IP-адрес сервера, на который должно идти перенаправление.

Пример настройки проброса FTP для Mikrotik
Пример настройки проброса FTP для Mikrotik

Видеонаблюдение

Системы видеонаблюдения могут работать на различных портах, поэтому первым делом обращаемся к инструкции системы, с которой необходимо работать.

В данном примере рассмотрим проброс RTSP.

  • Chain — dstnat;
  • Dst. Address — внешний IP-адрес;
  • Protocol — udp;
  • Dst. Port — 554;
  • Action — dst-nat;
  • To Address — IP-адрес сервера, на который должно идти перенаправление.

Пример настройки проброса RTSP для Mikrotik
Пример настройки проброса RTSP для Mikrotik

* RTSP работает по протоколам TCP и UDP. В данном примере правило настроено для последнего.

Почтовая система Zimbra

Для нормальной работы почтовой системы необходимо пробросить следующие порты:

  • 25 — основной порт для обмена почтой по протоколу SMTP.
  • 80 — веб-интерфейс для чтения почты (http).
  • 110 — POP3 для загрузки почты.
  • 143 — IMAP для работы с почтовым ящиком с помощью клиента.
  • 443 — SSL веб-интерфейс для чтения почты (https).
  • 465 — безопасный SMTP для отправки почты с почтового клиента.
  • 587 — SMTP для отправки почты с почтового клиента (submission).
  • 993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
  • 995 — SSL POP3 для загрузки почты.
  • 5222 — для подключения к Zimbra по протоколу XMPP.
  • 5223 — для защищенного подключения к Zimbra по протоколу XMPP.
  • 7071 — для защищенного доступа к администраторской консоли.
  • 8443 — SSL веб-интерфейс для чтения почты (https).
  • 7143 — IMAP для работы с почтовым ящиком с помощью клиента.
  • 7993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
  • 7110 — POP3 для загрузки почты.
  • 7995 — SSL POP3 для загрузки почты.
  • 9071 — для защищенного подключения к администраторской консоли.

Важно отметить, что не все перечисленные порты понадобятся именно вам. Если мы не планируем использовать POP3, то и соответствующие порты для него пробрасывать не нужно.

Сама настройка на микротике будет такой:

  • Chain — dstnat;
  • Dst. Address — внешний IP-адрес;
  • Protocol — tcp;
  • Dst. Port — 25,80,110,143,443,465,587,993,995,5222,5223,9071,7071,8443,7143,7993,7110,7995;
  • Action — dst-nat;
  • To Address — IP-адрес сервера, на который должно идти перенаправление.

Пример настройки проброса для Zimbra на Mikrotik
Пример настройки проброса для Zimbra на Mikrotik

NAT Loopback (nat reflection)

Проброс не будет работать для внутренней сети, если исходящий внешний IP совпадает с тем, на котором опубликован сервис. Предположим, что у нас внешний адрес 95.161.166.156 и мы хотим пробросить порты 80 и 443. Все попытки к нему подключиться из внутренней сети будут заканчиваться ошибкой Connection Timeout.

Для решения задачи публикации сервиса клиентам внутренней сети есть два классическим способа:

1. Разделять ответы DNS таким образом, чтобы внутренние пользователи получали внутренний адрес, а внешние — внешний. Полезные материалы на эту тему — Настройка Split DNS на одном сервере Bind и Установка и примеры настройки Dnsmasq.

2. Использовать специальные правила при создании пробросов, которые отделяли бы внутренние запросы от внешних. Это может называться NAT Loopback или NAT Reflection.

В рамках нашей инструкции мы рассмотрим второй метод. Нам нужно создать два правила: первое — для проброса из внутренней подсети на внутренний адрес; второе — маскарадинг.

Первое правило:

  • Chain — dstnat;
  • Src. Address — внутренняя подсеть;
  • Dst. Address — внешний IP-адрес;
  • Protocol — tcp;
  • Dst. Port — 80,443;
  • Action — dst-nat;
  • To Address — IP-адрес сервера, на который должно идти перенаправление.

Пример настройки для правила NAT Loopback

Пример настройки для правила NAT Loopback

Второе правило:

  • Chain — srcnat;
  • Src. Address — внутренняя подсеть;
  • Dst. Address — IP-адрес сервера, на который должно идти перенаправление;
  • Protocol — tcp;
  • Dst. Port — 80,443;
  • Action — masquerade;

Пример настройки для правила NAT Loopback 

Пример настройки для правила NAT Loopback

# Железо # Интернет # Сети
Дмитрий Моск — частный мастер
Была ли полезна вам эта инструкция?

Да            Нет