Бешенное количество времени потратил на то, чтоб научить Микротик пробрасывать порт, если он не является шлюзом. У меня такое работало в Linux, а Mikrotik и разные “домашние роутеры” не хотели этого делать. Как оказалось, Mikrotik может всё)))
Для того, чтоб Микротик умел работать с сервером, который работает через другой шлюз, необходимо прописать правила:
В Mangle:
/ip firewall mangle add chain=input action=mark-connection new-connection-mark=to_speedy passthrough=yes in-interface=ether1
/ip firewall mangle add chain=output action=mark-routing new-routing-mark=speedy-isp passthrough=no connection-mark=to_speedy log=no log-prefix=””
/ip firewall mangle add chain=forward action=mark-connection new-connection-mark=to_speedy-f passthrough=no in-interface=ether1
/ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=speedy-isp connection-mark=to_speedy-f in-interface=ether1
В Firewall Nat:
/ip firewall nat add chain=srcnat action=masquerade src-address=192.168.20.0/24 log=no log-prefix=””
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.20.167 to-ports=80 protocol=tcp dst-address=134.249.121.18 in-interface=ether1 dst-port=80 log=no log-prefix=””
/ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.20.200 protocol=tcp dst-address=192.168.20.167 dst-port=80 log=no log-prefix=””
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.20.167 to-ports=443 protocol=tcp dst-address=134.249.121.18 in-interface=ether1 dst-port=443 log=no log-prefix=””
/ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.20.200 protocol=tcp dst-address=192.168.20.167 dst-port=443 log=no log-prefix=””
Где
134.249.121.18 – внешний адрес WAN Микротика,
192.168.20.200 – внутренний адрес LAN Микротика,
192.168.20.0/24 – внутренняя сеть (LAN),
192.168.20.167 – IP-адрес сервера, к которому пробрасываем порты,
80, 443 – пробрасываемые порты.
Leave a Reply