classic.ISPforum.cz

Čau, nedávno mi ISP měnil anténu z Ubiquiti na Mikrotik a od té doby mám problém s porty. Dám příklad: | /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=7777 in-interface=ether1 protocol=tcp to-addresses=192.168.0.100 to-ports=7777 | Ať se snažím jak se snažím tak i skrze port checker mi stále ukazuje, že je “uzamčený„ Jak z internetu tak z lanu.

Nejsem ještě moc zběhlý v mikrotik rozhraní, ale hodně jsem googlil a zkoušel. Díky za rady

ty máš WAN na ether1?

To pravidlo si prostě přečti ... přidáváš do network translation tabulky, bloku překladu cílové adresy. Podmínka je, že paket musí přijít po ether1, být TCP a mít cílový port 777 - v takovém případě změň cílovou adresu na 192.168.0.100 a cílový port na 7777.

Mám dojem, že zadání interface nebude fungovat.
Všude v příkladech jsem viděl jen zadání "Dst address"=IP na kterou chodí požadavky zvenčí a pak protocol a port. To vždy fungovalo.

Druhá častá chyba je, že dst pravidla se musí zařadit přes src nat a maškarádu.

Nevidím důvod, proč by nemělo fungovat pravidlo i s rozhraním. Někdy to smysl má, někdy je to zbytečné.

Na pořadí jak píšeš ty také nezáleží. chain DST nat je na začátku, kdežto srcnat (a maškaráda) na konci trasy paketu v jádře. Na pořadí může záležet v rámci jiných souvislostí, např. pokud budu dělat srcnat v závislosti na cílové adrese ... nebo na pořadí v rámci dstnat chainu.