Порт RouterOS вперед

725
Sander

Я хочу перенаправить HTTP-трафик с 1.1.66.166:80 на LAN-ip 10.13.37.10:80 на работающем маршрутизаторе RouterOS 6.40

Конфигурация:

/ip address print Flags: X - disabled, I - invalid, D - dynamic  # ADDRESS NETWORK INTERFACE  0 10.13.37.62/26 10.13.37.0 ether2  1 1.1.66.166/27 1.1.66.160 ether1   /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic  0 chain=dstnat action=dst-nat to-addresses=10.13.37.10 protocol=tcp dst-address=1.1.66.166 dst-port=80 log=yes log-prefix=""   1 chain=srcnat action=masquerade out-interface=ether1 log=no

Но никакой трафик не достигает внутреннего хоста. Я что-то здесь упускаю?

Я подтвердил, что могу связаться 10.13.37.10:80с маршрутизатором.

Я получаю запись, что правило было запущено:

firewall,info dstnat: in:ether1 out:(none), src-mac xx:xx:d0:xx:3c:00, proto TCP (SYN), xx.xx.174.107:22880->1.1.66.166:80, len 60
1
Так как в правиле 0 есть log = yes, вы видите какие-либо сообщения журнала? grawity 6 лет назад 0
Я делаю, но вне: интерфейс (нет) .. не может установить его на ether2, потому что я получаю ошибку Sander 6 лет назад 0
Это имеет смысл, поскольку DNAT происходит рано, до маршрутизации (и до регулярной фильтрации брандмауэра тоже). grawity 6 лет назад 0
Добавьте правило фильтра для регистрации любого трафика, идущего на внутренний хост: / ip firewall filter add dst-address = 10.13.37.10 action = log chain = forward Duncan X Simpson 6 лет назад 0

1 ответ на вопрос

0
Marvin

Надеюсь, это только часть правил вашего брандмауэра :) Вы должны фильтровать все входящие, кроме установленных и связанных!

Поскольку forwardig порта - FORWARD, может быть, мне следует разрешить пересылку входящих пакетов на порт 80 10.3.37.10 tcp?

chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=80 log=yes log-prefix="---FORWARD-TO-80--- "

Это не представляет угрозы для безопасности, потому что вы разрешаете прямое входящее соединение для 80 / tcp. Конечный пункт назначения, которым вы управляете с помощью правила dstnat.

Обратите внимание, вы должны были установить и связать eabled:

chain=forward action=accept connection-state=established chain=forward action=accept connection-state=related

потому что ваш веб-сервер в локальной сети ответит, и его ответы должны быть разрешены для доступа к удаленному клиенту.

Похожие вопросы