classic.ISPforum.cz

Zdravím. Mám malinký problém. Pokud se z počítačů ve vnitřní síti snažím připojit na jiné vzdálené počítače (v internetu) přes RDP (s porty 3389,33891,33892), neprojde mi přes mikrotik nic. Pokud ale mikrotik vyměním za jiný router, tak vše funguje normálně. Je třeba na mikrotiku nastavit nějaké pravidlo, které by povolovalo odchozí komunikaci na zmíněné porty? nebo snad nějaký NAT? Mám do internetu nastavenu jen standardní maškarádu a ve firewallu defaultní nastavení. +mám udělaný bridge mezi lan a pptp vpn spojením, ale to předpokládám na tento problém nebude mít vliv. Máte s tímto někdo zkušenosti. Předem díky, každá rada dobrá...

Skus vypsat nastaveni firewallu. . .

jan/01/2002 22:11:48 by RouterOS 5.4
# software id = WAHY-FKPT
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=\
10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \
tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s \
udp-stream-timeout=3m udp-timeout=10s

/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no \
protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
established disabled=no in-interface="ether1- STARNET"
add action=accept chain=input comment="default configuration" connection-state=\
related disabled=no in-interface="ether1- STARNET"
add action=drop chain=input comment="default configuration" disabled=no \
in-interface="ether1- STARNET"

/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface="ether1- STARNET"
add action=masquerade chain=srcnat disabled=no out-interface="ether2- O2"
add action=dst-nat chain=dstnat disabled=no dst-port=33890 protocol=tcp \
to-addresses=192.168.11.20 to-ports=3389
add action=dst-nat chain=dstnat disabled=no dst-port=18081 protocol=tcp \
to-addresses=192.168.11.253 to-ports=8081
add action=dst-nat chain=dstnat disabled=no dst-port=21 protocol=tcp \
to-addresses=192.168.11.1 to-ports=21
add action=dst-nat chain=dstnat disabled=no dst-port=3389 protocol=tcp \
to-addresses=192.168.11.1 to-ports=3389
add action=dst-nat chain=dstnat disabled=no dst-port=3389 protocol=tcp \
to-addresses=192.168.11.100 to-ports=3389
add action=dst-nat chain=dstnat disabled=no dst-port=8291 protocol=tcp \
to-addresses=192.168.11.254 to-ports=8291

/ip firewall service-port
set ftp disabled=yes ports=21
set tftp disabled=yes ports=69
set irc disabled=yes ports=6667
set h323 disabled=yes
set sip disabled=yes ports=5060,5061
set pptp disabled=yes

/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-port=3389 protocol=tcp \
to-addresses=192.168.11.1 to-ports=3389
add action=dst-nat chain=dstnat disabled=no dst-port=3389 protocol=tcp \
to-addresses=192.168.11.100 to-ports=3389

co to má jako bejt?

hapi píše:/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-port=3389 protocol=tcp \
to-addresses=192.168.11.1 to-ports=3389
add action=dst-nat chain=dstnat disabled=no dst-port=3389 protocol=tcp \
to-addresses=192.168.11.100 to-ports=3389

co to má jako bejt?

Toho si nevšímat, mám to tam na testování. Vždycky je jeden z nich disable.

tak jednak jsou oba enable a jedna ti oba dva ruší spojení ven. Si to přečti to pravidlo co dělá a bude ti to jasný proč ti nejde ven RDP.

hapi píše:tak jednak jsou oba enable a jedna ti oba dva ruší spojení ven. Si to přečti to pravidlo co dělá a bude ti to jasný proč ti nejde ven RDP.

Děkuji za radu. Už to jede. A stačí jen nastavit Dst. Address v General Nebo i jiné atributy?

stačí pouze dst. address