Проброс портов в Mikrotik – инструкция по настройке

Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе eve-ng.  Думаю, вы это все знаете, так что давайте начнем.

Наша команда рекомендует изучитьНаша команда рекомендует изучить углубленный курс по администрированию сетевых устройств MikroTik В курсе много лабораторных работ по итогам которых вы получите обратную связь. После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Настройка проброса порта rdp на mikrotik

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

  • Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
  • Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
  • Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
  • Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
  • Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
  • Dst. Port – вот здесь указываем 3389 как писалось выше.
  • Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
  • In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот. 
  • Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
  • In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
  • Out. Interface List – тоже самое что и 10 пункт только исходящий.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Вrладка Action nat

Здесь настраиваем так:

  • Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
  • Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
  • Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
  • To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
  • To Ports – ну и TCP порт на который пересылать.

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Проброс 80 порта на mikrotik

Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.

Проброс 80 порта на роутере

Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.

dstnat 80 порт

Таким образом можно пробросить 80 порт много раз, только подключаться из вне придется указывая явно порт, например http://2.34.67.8:8080.

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Пустой Firewall mikrotik

Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services

Открыть порт на mikrotik

Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Оцените статью
MikroTikLab
Добавить комментарий

  1. Алексей

    Не работает способ. Пытаюсь пробрость порт 8080 как тестовый. Когда правило создано, счётчик пакетов растёт (на каждую попытку теста с сайта 2ip, но конечная машина пакеты не получает).

    Ответить
    1. Admin26 автор

      А фаервол у вас не блочит пакеты на 8080?

      Ответить
  2. Коля

    Подскажите gre протокол можно пробросить?

    Ответить
    1. Admin26 автор

      Да, в Firewall выбираете вкладку NAT -> Protocol GRE и все. В Action пишете ip куда пробрасывать.

      Ответить
  3. Максим

    При пробросе порта без изменения его номера поле «To Ports» нужно оставлять пустым. Указывая номер порта, мы загружаем проц для тупого действия замены одного номера на такой же.

    Ответить
  4. Руслан

    «… опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает»
    Так вот, не работает проброс. Куда смотреть?

    Ответить
    1. Admin26 автор

      Здравствуйте! Задайте ваш порос в нашей телеграмм группе, там много специалистов они вам помогут https://tlgg.ru/mikrotiklab

      Ответить
  5. Алексей

    Спасибо! Все сделал по вашей инструкции. Заработало сразу

    Ответить
  6. Tim

    Сделал как написано, пробросил 33331->3389. Не работает.
    Из внутренней сети РДП работает. Снаружи IP роутера пингуется. По РДП до других машин из других сетей подключается. Вывод: блокирует Mikrotik, я что-то не так сделал, только вот что. Настройка минимальная, ошибиться вроде не где…
    Где искать причину?

    Ответить
    1. Tim

      Не актуально. Решил.

      Ответить
      1. Admin26 автор

        Напишите пожалуйста в чем была проблема

        Ответить
  7. Владимир

    Не транслируется порт, в чём ошибка?
    add action=masquerade chain=srcnat comment=»LAN to WAN» out-interface=WAN src-address=192.168.88.0/24
    add action=dst-nat chain=dstnat dst-port=60104 in-interface=WAN protocol=tcp to-addresses=192.168.88.10 to-ports=57880
    add action=src-nat chain=srcnat dst-address=192.168.88.10 dst-port=57880 protocol=tcp to-addresses=192.168.88.1
    add action=accept chain=forward comment=»accept WAN -> LAN RDP» dst-address=192.168.88.10 dst-port=57880 in-interface=wan protocol=tcp

    Ответить
    1. Олег

      А в фильтре разрешён NAT?

      Ответить
  8. Олег

    Почему нельзя прогбрамывать через netmap? Я знаю, что netmap создан для другого, но это не ответ на вопрос почему нельзя

    Ответить
Adblock
detector