Проброс портов в MikroTik, настройка DMZ

проброс портов в mikrotik настройка dmz
В материале описывается настройка dst-NAT на MikroTik, также известного как проброс порта. Распространённые термины-синонимы: Port Forwarding, Virtual Server. В расширенной конфигурации рассматривается добавление правил Firewall и организация демилитаризованной зоны (DMZ).
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Что такое порт
Порт представляет собой числовое значение, содержащееся в заголовке транспортного уровня модели OSI. Он используется для идентификации процессов на стороне отправителя и получателя. Обмен данными между узлами осуществляется по определённому протоколу, для установления соединения требуется указать следующие параметры:
  • IP-адрес отправителя и получателя
  • Протокол или его числовой идентификатор
  • Номера портов отправителя и получателя
курс по микротик
Для чего использовать проброс порта в MikroTik
По умолчанию конфигурация роутера MikroTik изолирует локальную сеть (LAN) от сети Интернет. При получении исходящего пакета от устройства в LAN, роутер открывает соответствующий порт и заменяет локальный IP-адрес источника на внешний IP-адрес, предоставленный провайдером. Далее пакет передаётся по маршруту к получателю. Ответный пакет от удалённого узла роутер перенаправляет устройству, инициировавшему соединение.
как работает проброс порта в mikrotik
Данная технология называется NAT и по умолчанию функционирует в одностороннем режиме: роутер MikroTik обрабатывает только пакеты, соединения для которых инициированы из внутренней сети (LAN), а остальные пакеты отбрасываются.
В некоторых случаях требуется обратное направление — когда в LAN находится ресурс, например почтовый сервер, веб-сайт или VPN-сервер, к которому необходимо обеспечить доступ из Интернета по инициативе внешнего клиента. Для этого используется проброс порта.
Проброс порта (port forwarding) — это функция NAT, при которой пара «внешний IP-адрес и порт» сопоставляется с конкретным IP-адресом и портом внутри локальной сети.
Варианты применения проброса порта
Проброс портов в роутерах MikroTik применяется для организации доступа к следующим сервисам:
  • системы видеонаблюдения;
  • терминальные серверы (RDP);
  • почтовые серверы;
  • веб-сайты;
  • IP-телефония;
  • другие частные и корпоративные сервисы, требующие подключения из внешних сетей.
Как работает проброс порта в MikroTik
Проброс порта — это резервирование определённого номера порта с последующей переадресацией трафика на заданный узел локальной сети. В этом случае роутер MikroTik не блокирует входящие запросы, а обрабатывает их согласно заданным условиям.
Для настройки проброса порта в MikroTik необходимо создать правило, включающее:
  • используемый протокол;
  • внешний порт и IP-адрес (или интерфейс);
  • внутренний IP-адрес и порт.
При получении пакета, соответствующего условиям правила NAT (dstnat), трафик перенаправляется на указанный внутренний узел.
Проброс портов(Port Forwarding) в MikroTik
Для корректной работы проброса портов на маршрутизаторах MikroTik необходимо задать правила в двух разделах:
  1. NAT (dstnat) — настройка перенаправления трафика на внутренний узел.
  2. Firewall — настройка фильтрации и разрешения входящих соединений.
Дальнейшее описание производится в указанной последовательности.
Проброс портов MikroTik NAT-dstnat
Перейдем в IP→Firewall→NAT
mikrotik проброс портов dstnat
проброс портов в mikrotik настройка dmz 
/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.10.10.52 dst-port=80,443 \
in-interface=ether1 protocol=tcp to-addresses=192.168.0.2
Основные параметры настройки:
  • dstnat — входящее направление обработки трафика.
  • Dst. Address — внешний IP-адрес маршрутизатора MikroTik.
  • Dst. Port — внешний порт назначения.
  • In. Interface — интерфейс, через который поступает входящий трафик из Интернета.
  • To Addresses — внутренний IP-адрес назначения.
  • To Port — внутренний порт назначения; указывается при отличии от значения Dst. Port.
Настройка Firewall для проброса порта в MikroTik
Стандартная конфигурация Firewall в MikroTik включает исключение из блокировки для пакетов, обработанных правилами цепочки dstnat. Если настройки Firewall изменялись и проброс порта не функционирует, необходимо добавить явное правило разрешения.
Параметры редактируются в меню IP → Firewall.
настройка mikrotik проброс портов firewall
добавление правила firewall accept 
/ip firewall filter \ 
add action=accept chain=forward dst-address=10.10.10.52 dst-port=80,443 in-interface=ether-1 protocol=tcp
Альтернативный способ настройки Firewall для проброса портов в MikroTik — создание общего правила с действием Action = Accept для всего трафика, соответствующего записям в разделе NAT (dstnat).
настройка firewall для проброса порта в mikrotik общее правило 
/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat dst-address=\
10.10.10.52 in-interface-list=WAN
обучение по микротик
Настройка MikroTik DMZ
Режим DMZ активируется, если оставить поля Protocol и Dst. Port пустыми.
настройка mikrotik проброс портов dmz
проброс портов в mikrotik вкладка action 
/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.10.10.52 in-interface=ether-1 to-addresses=192.168.0.2
Аналогично стандартному пробросу портов, при использовании DMZ необходимо проверить и при необходимости откорректировать правила в Firewall.
РЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.