Mikrotik: проброс порта из wan в wan : MikroTik

KirillHome · █ 13.02.2017 17:55

Цитата:

baggio ➤ тут как бы проброс через 2 интерфейса...
классический нат...
а мне нужно как то с одним извернуться...

Странно....

Судя по тому, что написано в источнике, это решения для тебя

Цитата:

Возникла очередная задача: заказчик захотел скрыть внешний адрес своего сервиса в интерне для подключаемых клиентов.

Было предложено решение: арендовать виртуальный сервер где-то за границей и входящий трафик по определенному порту перенаправлять на сервер заказчика. Схема решения следующая

То есть как раз то, что требуется:
Есть настроенные клиенты, обращающиеся на известный реальный адрес и порт.
По этому адресу стоит виртуалка с CentOs, которая, поняв, что к ней обращаются по такому-то порту - форвардит на другой реальный адрес.

OlegON · █ 13.02.2017 17:56

Так смотри, форвард там уже есть, тебе надо реализовать два правила

Цитата:

iptables -t nat -A PREROUTING -p tcp --dst x.x.x.x --dport 3389 -j DNAT --to-destination y.y.y.y:3389
iptables -t nat -A POSTROUTING -p tcp --dst y.y.y.y --dport 3389 -j SNAT --to-source x.x.x.x

в данном случае то, что пакеты полетят не внутрь, а наружу, роли никакой не играет. Я если до дома в нормальное время появлюсь, постараюсь сообразить на микротике...

OlegON · █ 13.02.2017 21:34

Как два пальца

Код:

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=10.10.10.10 dst-port=11111 protocol=tcp to-addresses=95.108.194.211 to-ports=11111
add action=src-nat chain=srcnat dst-address=95.108.194.211 dst-port=11111 protocol=tcp to-addresses=10.10.10.10

все просто, 10.10.10.10 - мой WAN, 95.108.194.211 - один из IP замечательного allports.jabber.ru, который я часто использую для тестов.
11111 - порт, из головы, но чтобы у меня тут не перекрылся ни с чем.
Первая строка - делаем DNAT, т.е. вкладываем пакет в путь до 95.108.194.211 и запоминаем для возврата ответа.
Вторая строка - делаем SNAT, т.е. маскируем отправленный пакет, как будто бы он отправлен с 10.10.10.10 (WAN), чтобы ушло не напрямую клиенту, а вернулось на 10.10.10.10, поскольку клиент не поймет, если ему с 95.108.194.211 прилетит ответ на пакет, который он слал 10.10.10.10.
Надо понимать, что тому серваку, который в датацентре, должно быть наплевать, что у него все клиенты с адресом 10.10.10.10 (фигурально, у меня, понятно, там еще один NAT по дороге).

baggio · █ 13.02.2017 21:36

Да да... Заработало еще в обед... Уехал на выезд...
Короче да нужно было в обратную натить

baggio · █ 17.03.2017 13:23

будите смеятся но не работает....
т.е. я когда проверял сделал телнет на порт и все вроде ОК...
понадобилось в боевую...
нигуя... я даже понять не могу почему...

OlegON · █ 17.03.2017 13:25

так traceroute, tcpdump... там же все на ладони...

baggio · █ 17.03.2017 13:36

и так делаю...

WAN - 1.1.1.1
9999 порт на wan который нужно пробросить

Куда нужно пробросить
RemoteWAN 2.2.2.2
на порт 1433

т.е. чтобы не положить все в конец пока попробовать порт 9999 замкнуть на 1433

делаю так...
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=9999 protocol=tcp to-addresses=2.2.2.2 to-ports=9999
add action=src-nat chain=srcnat dst-address=2.2.2.2 dst-port=1433 protocol=tcp to-addresses=1.1.1.1

не работает сцобако...

OlegON · █ 17.03.2017 13:55

ты бы лучше схемку накидал, как это все выглядит и откуда тестишь...
посмотри, что для кого и куда летит...

baggio · █ 20.03.2017 13:40

мой косяк все работает...
просто пробрасывал порты mssql...
а энта радость по умолчанию использует динамические порты...
т.е. порт то пробросился но только один... а ему видишь ли динамику подавай...
перенастроил скуль... всё взлетело...