Проброс портов в Mikrotik – инструкция по настройке

Один из самых частых вопросов у новых пользователей routeros как настроить в mikrotik проброс портов или по-другому трансляцию портов. В данной публикации мы детально, по шагам покажем как настроить dst-nat на микротике и что делать, куда смотреть если проброс не работает. Для общего понимая этого материала вам нужны базовые знания работы NAT, устройство ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Потренироваться можно на эмуляторе eve-ng или под VirtualBox запустить виртуальный роутер скачав образ с оффициального сайта RouterOS.  Надеюсь что вы все это знаете, можно приступать.

Перенаправление портов Mikrotik

Все настройки по пробросу портов располагаются в разделе IP -> Firewall -> Nat. Далее опишем все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Настройка проброса порта rdp на mikrotik

 

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT.

    • Chain – это цепочка в ней выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
    • Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не нажно поэтому это поле оставляем пустым.
    • Dst. Address – здесь указываем внешний wan ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить вн на сервер. (Здесь имеет смысл указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
    • Protocol – выбираем какой протокол будем пробрасывать (RDP работает на TCP протоколе и порту 3389). Очевидно, выбираем его.
    • Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
    • Dst. Port – вот здесь указываем 3389 как писалось выше.
    • Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
    • In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня ether1. 
    • Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
    • In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
    • Out. Interface List – тоже самое что и 10 пункт только исходящий.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Давайте перейдем на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Вкладка Action nat

 

На вкладке Action настроим так:

    • Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
    • Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
    • Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
    • To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
    • To Ports – ну и TCP порт на который пересылать.

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Проброс 80 порта на mikrotik

Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.

Проброс 80 порта на роутере

 

Как видно на картинке выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.

dstnat 80 порт

Таким образом можно пробросить 80 порт много раз, только подключаться из вне придется указывая явно порт, например http://2.34.67.8:8080.

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Пустой Firewall mikrotik

Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services

Открыть порт на mikrotik

Рекоммендуем вам отключить то, что вы не используете в работе, так как чем больше разрешено сервисов, тем больше возможностей для взлома вашего устройства. Вообще вариаций для пробросов портов в mikrotik достаточно, все их не опишешь за один раз, главное знать как работает технология nat pat.

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию на нашем сайте перейдя в нужный раздел.