Size: a a a

Mikrotik-Training

2021 March 25

А

Антон Курьянов... in Mikrotik-Training
так весь этот кипишь ради проброса порта?
источник

A

Aslan in Mikrotik-Training
Aslan
1) у тебя какой IP-адрес у внутреннего сервера?
2) его ип должен быть в правиле дст-нат
3) в фильтре в цепочке форвард должен быть разрешен шибо 3389, либо 11945, в зависимости от того, что раньше срабатывает, фаер или нат (я не помню). Можешь проверить методом проб.
4) не вижу для этого правила у тебя белого списка адресов. Открывать со всего интернета даже нестандартный порт рдп - плохая идея.
Или в цепочке инпут, я уже запутался
источник

A

Aslan in Mikrotik-Training
Антон Курьянов
так весь этот кипишь ради проброса порта?
Да ппц
источник

EP

Evgeny Prokhorov in Mikrotik-Training
Aslan
1) у тебя какой IP-адрес у внутреннего сервера?
2) его ип должен быть в правиле дст-нат
3) в фильтре в цепочке форвард должен быть разрешен шибо 3389, либо 11945, в зависимости от того, что раньше срабатывает, фаер или нат (я не помню). Можешь проверить методом проб.
4) не вижу для этого правила у тебя белого списка адресов. Открывать со всего интернета даже нестандартный порт рдп - плохая идея.
1) 192.168.1.1
2) он есть
3) 11945 разрешил, сейчас 3389 попробую
4) это очень временно, и да, я сделаю.

У меня сейчас такие правила:
add action=accept chain=input connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp

add action=accept chain=forward connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp

add action=dst-nat chain=dstnat dst-address=[белый ip] dst-port=11945 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.1.1 to-ports=3389
источник

A

Aslan in Mikrotik-Training
Меня уже можно тоже не слушать, но вариантов всего 4, можно и методом проб уже натыкать.
источник

EP

Evgeny Prokhorov in Mikrotik-Training
Антон Курьянов
так весь этот кипишь ради проброса порта?
ога )
источник

K

Kino Recovery in Mikrotik-Training
Aslan
Да ппц
а можно узнать что хочет топик стартер
источник

А

Антон Курьянов... in Mikrotik-Training
Kino Recovery
а можно узнать что хочет топик стартер
зачем. советуй так
источник

A

Aslan in Mikrotik-Training
Evgeny Prokhorov
1) 192.168.1.1
2) он есть
3) 11945 разрешил, сейчас 3389 попробую
4) это очень временно, и да, я сделаю.

У меня сейчас такие правила:
add action=accept chain=input connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp

add action=accept chain=forward connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp

add action=dst-nat chain=dstnat dst-address=[белый ip] dst-port=11945 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.1.1 to-ports=3389
Ты смысл параметров вообще хоть примерно понимаешь? Или тыкаешь уже наугад?
источник

EP

Evgeny Prokhorov in Mikrotik-Training
Aslan
Меня уже можно тоже не слушать, но вариантов всего 4, можно и методом проб уже натыкать.
Но именно ваша подсказка сработала: 3) в цепочке forward разрешить порт 3389
источник

AK

Alexey Kravchenko in Mikrotik-Training
add action=accept chain=input connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp в принципе можно убрать..
источник

EP

Evgeny Prokhorov in Mikrotik-Training
Aslan
Ты смысл параметров вообще хоть примерно понимаешь? Или тыкаешь уже наугад?
Понимаю. Я где-то ошибся?
источник

А

Антон Курьянов... in Mikrotik-Training
Evgeny Prokhorov
Но именно ваша подсказка сработала: 3) в цепочке forward разрешить порт 3389
при подобном траблутинге проще всего сперва дропы выклчить
источник

EP

Evgeny Prokhorov in Mikrotik-Training
Alexey скорее всего да
источник

EP

Evgeny Prokhorov in Mikrotik-Training
Антон Курьянов
при подобном траблутинге проще всего сперва дропы выклчить
Не, здесь моя ошибка была в том, что я не учёл, что после nat порт будет уже изменён.
источник

A

Aslan in Mikrotik-Training
Evgeny Prokhorov
Понимаю. Я где-то ошибся?
Зачем в правиле дст-нат дст-адрес? Бывает нужно, но вряд-ли это твой случай
источник

A

Aslan in Mikrotik-Training
Evgeny Prokhorov
Не, здесь моя ошибка была в том, что я не учёл, что после nat порт будет уже изменён.
пакетфлоу тут однозначно подскажет, я её не помню
источник

EP

Evgeny Prokhorov in Mikrotik-Training
Aslan
Зачем в правиле дст-нат дст-адрес? Бывает нужно, но вряд-ли это твой случай
dst-address=[белый ip] ? Если речь об этом, то чтобы исключить пакеты на этот адаптер и отличными от его ip адресами. Хотя, пожалуй, да - излишне.
источник

K

Kino Recovery in Mikrotik-Training
Антон Курьянов
зачем. советуй так
 /ip fir f add chain=input action=drop place=0 
))
источник

EP

Evgeny Prokhorov in Mikrotik-Training
Aslan
Зачем в правиле дст-нат дст-адрес? Бывает нужно, но вряд-ли это твой случай
Вот я на него и смотрел. Но прошляпил.
источник