Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Mikrotik: проброс порта из wan в wan

03.04.2020 20:41


13.02.2017 17:55
KirillHome
 
Цитата:
baggio тут как бы проброс через 2 интерфейса...
классический нат...
а мне нужно как то с одним извернуться...
Странно....

Судя по тому, что написано в источнике, это решения для тебя

Цитата:
Возникла очередная задача: заказчик захотел скрыть внешний адрес своего сервиса в интерне для подключаемых клиентов.

Было предложено решение: арендовать виртуальный сервер где-то за границей и входящий трафик по определенному порту перенаправлять на сервер заказчика. Схема решения следующая
То есть как раз то, что требуется:
Есть настроенные клиенты, обращающиеся на известный реальный адрес и порт.
По этому адресу стоит виртуалка с CentOs, которая, поняв, что к ней обращаются по такому-то порту - форвардит на другой реальный адрес.
13.02.2017 17:56
OlegON
 
Так смотри, форвард там уже есть, тебе надо реализовать два правила
Цитата:
iptables -t nat -A PREROUTING -p tcp --dst x.x.x.x --dport 3389 -j DNAT --to-destination y.y.y.y:3389
iptables -t nat -A POSTROUTING -p tcp --dst y.y.y.y --dport 3389 -j SNAT --to-source x.x.x.x
в данном случае то, что пакеты полетят не внутрь, а наружу, роли никакой не играет. Я если до дома в нормальное время появлюсь, постараюсь сообразить на микротике...
13.02.2017 21:34
OlegON
 
Как два пальца
Код:
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=10.10.10.10 dst-port=11111 protocol=tcp to-addresses=95.108.194.211 to-ports=11111
add action=src-nat chain=srcnat dst-address=95.108.194.211 dst-port=11111 protocol=tcp to-addresses=10.10.10.10
все просто, 10.10.10.10 - мой WAN, 95.108.194.211 - один из IP замечательного allports.jabber.ru, который я часто использую для тестов.
11111 - порт, из головы, но чтобы у меня тут не перекрылся ни с чем.
Первая строка - делаем DNAT, т.е. вкладываем пакет в путь до 95.108.194.211 и запоминаем для возврата ответа.
Вторая строка - делаем SNAT, т.е. маскируем отправленный пакет, как будто бы он отправлен с 10.10.10.10 (WAN), чтобы ушло не напрямую клиенту, а вернулось на 10.10.10.10, поскольку клиент не поймет, если ему с 95.108.194.211 прилетит ответ на пакет, который он слал 10.10.10.10.
Надо понимать, что тому серваку, который в датацентре, должно быть наплевать, что у него все клиенты с адресом 10.10.10.10 (фигурально, у меня, понятно, там еще один NAT по дороге).
13.02.2017 21:36
baggio
 
Да да... Заработало еще в обед... Уехал на выезд...
Короче да нужно было в обратную натить
17.03.2017 13:23
baggio
 
будите смеятся но не работает....
т.е. я когда проверял сделал телнет на порт и все вроде ОК...
понадобилось в боевую...
нигуя... я даже понять не могу почему...
17.03.2017 13:25
OlegON
 
так traceroute, tcpdump... там же все на ладони...
17.03.2017 13:36
baggio
 
и так делаю...

WAN - 1.1.1.1
9999 порт на wan который нужно пробросить

Куда нужно пробросить
RemoteWAN 2.2.2.2
на порт 1433

т.е. чтобы не положить все в конец пока попробовать порт 9999 замкнуть на 1433

делаю так...
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=9999 protocol=tcp to-addresses=2.2.2.2 to-ports=9999
add action=src-nat chain=srcnat dst-address=2.2.2.2 dst-port=1433 protocol=tcp to-addresses=1.1.1.1

не работает сцобако...
17.03.2017 13:55
OlegON
 
ты бы лучше схемку накидал, как это все выглядит и откуда тестишь...
посмотри, что для кого и куда летит...
20.03.2017 13:40
baggio
 
мой косяк все работает...
просто пробрасывал порты mssql...
а энта радость по умолчанию использует динамические порты...
т.е. порт то пробросился но только один... а ему видишь ли динамику подавай...
перенастроил скуль... всё взлетело...

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.