Как сделать проброс портов на Mikrotik, если он не является шлюзом

Бешенное количество времени потратил на то, чтоб научить Микротик пробрасывать порт, если он не является шлюзом. У меня такое работало в Linux, а Mikrotik и разные “домашние роутеры” не хотели этого делать.  Как оказалось, Mikrotik может всё)))

Для того, чтоб Микротик умел работать с сервером, который работает через другой шлюз, необходимо прописать правила:

В Mangle:

/ip firewall mangle add chain=input action=mark-connection new-connection-mark=to_speedy passthrough=yes in-interface=ether1
/ip firewall mangle add chain=output action=mark-routing new-routing-mark=speedy-isp passthrough=no connection-mark=to_speedy log=no log-prefix=””
/ip firewall mangle add chain=forward action=mark-connection new-connection-mark=to_speedy-f passthrough=no in-interface=ether1
/ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=speedy-isp connection-mark=to_speedy-f in-interface=ether1

В Firewall Nat:

/ip firewall nat add chain=srcnat action=masquerade src-address=192.168.20.0/24 log=no log-prefix=””

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.20.167 to-ports=80 protocol=tcp dst-address=134.249.121.18 in-interface=ether1 dst-port=80 log=no log-prefix=””
/ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.20.200 protocol=tcp dst-address=192.168.20.167 dst-port=80 log=no log-prefix=””


/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.20.167 to-ports=443 protocol=tcp dst-address=134.249.121.18 in-interface=ether1 dst-port=443 log=no log-prefix=””
/ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.20.200 protocol=tcp dst-address=192.168.20.167 dst-port=443 log=no log-prefix=””

Где

134.249.121.18 – внешний адрес WAN Микротика,

192.168.20.200 – внутренний адрес LAN Микротика,

192.168.20.0/24 – внутренняя сеть (LAN),

192.168.20.167 – IP-адрес сервера, к которому пробрасываем порты,

80, 443 – пробрасываемые порты.

 

 

 

Be the first to comment

Leave a Reply

Your email address will not be published.


*