В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Mikrotik-Training

5821 membersпожаловаться на группу
2021 March 25

А

Антон Курьянов... in Mikrotik-Training
так весь этот кипишь ради проброса порта?
источник
20:27пожаловаться#1

A

Aslan in Mikrotik-Training
Aslan
1) у тебя какой IP-адрес у внутреннего сервера?
2) его ип должен быть в правиле дст-нат
3) в фильтре в цепочке форвард должен быть разрешен шибо 3389, либо 11945, в зависимости от того, что раньше срабатывает, фаер или нат (я не помню). Можешь проверить методом проб.
4) не вижу для этого правила у тебя белого списка адресов. Открывать со всего интернета даже нестандартный порт рдп - плохая идея.
Или в цепочке инпут, я уже запутался
источник
20:27пожаловаться#2

A

Aslan in Mikrotik-Training
Антон Курьянов
так весь этот кипишь ради проброса порта?
Да ппц
источник
20:27пожаловаться#3

EP

Evgeny Prokhorov in Mikrotik-Training
Aslan
1) у тебя какой IP-адрес у внутреннего сервера?
2) его ип должен быть в правиле дст-нат
3) в фильтре в цепочке форвард должен быть разрешен шибо 3389, либо 11945, в зависимости от того, что раньше срабатывает, фаер или нат (я не помню). Можешь проверить методом проб.
4) не вижу для этого правила у тебя белого списка адресов. Открывать со всего интернета даже нестандартный порт рдп - плохая идея.
1) 192.168.1.1
2) он есть
3) 11945 разрешил, сейчас 3389 попробую
4) это очень временно, и да, я сделаю.

У меня сейчас такие правила:
add action=accept chain=input connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp

add action=accept chain=forward connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp

add action=dst-nat chain=dstnat dst-address=[белый ip] dst-port=11945 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.1.1 to-ports=3389
источник
20:28пожаловаться#4

A

Aslan in Mikrotik-Training
Меня уже можно тоже не слушать, но вариантов всего 4, можно и методом проб уже натыкать.
источник
20:28пожаловаться#5

EP

Evgeny Prokhorov in Mikrotik-Training
Антон Курьянов
так весь этот кипишь ради проброса порта?
ога )
источник
20:28пожаловаться#6

K

Kino Recovery in Mikrotik-Training
Aslan
Да ппц
а можно узнать что хочет топик стартер
источник
20:28пожаловаться#7

А

Антон Курьянов... in Mikrotik-Training
Kino Recovery
а можно узнать что хочет топик стартер
зачем. советуй так
источник
20:29пожаловаться#8

A

Aslan in Mikrotik-Training
Evgeny Prokhorov
1) 192.168.1.1
2) он есть
3) 11945 разрешил, сейчас 3389 попробую
4) это очень временно, и да, я сделаю.

У меня сейчас такие правила:
add action=accept chain=input connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp

add action=accept chain=forward connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp

add action=dst-nat chain=dstnat dst-address=[белый ip] dst-port=11945 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.1.1 to-ports=3389
Ты смысл параметров вообще хоть примерно понимаешь? Или тыкаешь уже наугад?
источник
20:29пожаловаться#9

EP

Evgeny Prokhorov in Mikrotik-Training
Aslan
Меня уже можно тоже не слушать, но вариантов всего 4, можно и методом проб уже натыкать.
Но именно ваша подсказка сработала: 3) в цепочке forward разрешить порт 3389
источник
20:29пожаловаться#10

AK

Alexey Kravchenko in Mikrotik-Training
add action=accept chain=input connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp в принципе можно убрать..
источник
20:30пожаловаться#11

EP

Evgeny Prokhorov in Mikrotik-Training
Aslan
Ты смысл параметров вообще хоть примерно понимаешь? Или тыкаешь уже наугад?
Понимаю. Я где-то ошибся?
источник
20:30пожаловаться#12

А

Антон Курьянов... in Mikrotik-Training
Evgeny Prokhorov
Но именно ваша подсказка сработала: 3) в цепочке forward разрешить порт 3389
при подобном траблутинге проще всего сперва дропы выклчить
источник
20:30пожаловаться#13

EP

Evgeny Prokhorov in Mikrotik-Training
Alexey скорее всего да
источник
20:30пожаловаться#14

EP

Evgeny Prokhorov in Mikrotik-Training
Антон Курьянов
при подобном траблутинге проще всего сперва дропы выклчить
Не, здесь моя ошибка была в том, что я не учёл, что после nat порт будет уже изменён.
источник
20:30пожаловаться#15

A

Aslan in Mikrotik-Training
Evgeny Prokhorov
Понимаю. Я где-то ошибся?
Зачем в правиле дст-нат дст-адрес? Бывает нужно, но вряд-ли это твой случай
источник
20:30пожаловаться#16

A

Aslan in Mikrotik-Training
Evgeny Prokhorov
Не, здесь моя ошибка была в том, что я не учёл, что после nat порт будет уже изменён.
пакетфлоу тут однозначно подскажет, я её не помню
источник
20:31пожаловаться#17

EP

Evgeny Prokhorov in Mikrotik-Training
Aslan
Зачем в правиле дст-нат дст-адрес? Бывает нужно, но вряд-ли это твой случай
dst-address=[белый ip] ? Если речь об этом, то чтобы исключить пакеты на этот адаптер и отличными от его ip адресами. Хотя, пожалуй, да - излишне.
источник
20:32пожаловаться#18

K

Kino Recovery in Mikrotik-Training
Антон Курьянов
зачем. советуй так
 /ip fir f add chain=input action=drop place=0
))
источник
20:32пожаловаться#19

EP

Evgeny Prokhorov in Mikrotik-Training
Aslan
Зачем в правиле дст-нат дст-адрес? Бывает нужно, но вряд-ли это твой случай
Вот я на него и смотрел. Но прошляпил.
источник
20:32пожаловаться#20