NAT v mikrotiku

[pavlos]

Pekny den,

potrebuju poradit jak a kde nastavit pristup z venku na verejnou IP adresu, prez mikrotik a to treba verejna IP xxx.xxx.xxx.xxx:86 aby mne to presmerovalo na vnitrni adresu treba 192.168.1.12 a port 80?


Dik cumim do toho ale cim vic koukam tim vic plavu

[reset]

jednoduse:

z meho exportu , jen pro pliklad:

/ip firewall nat
add action=dst-nat chain=NEJAKY.CHAIN disabled=no dst-port=80 protocol=tcp to-addresses=ADRESA to-ports=84

dopln si tam src , dst adresy podle libosti

zpusobu je vice

[pavlos]

Moc dik za rychlost odpovedi, jsem lamka tak zacinam pod winboxem, kdyz chci pristupovat z jakekolvek IP adresy tak tam nic nezadam, nebo jen 0.0.0.0?

[reset]

hledej, inet ti funguje ,
je toho vsude plno,
uceny z nebe nespadnul

http://wiki.mikrotik.com/wiki/Manual:TOC

[pavlos]

To vim , a popravde nez jsem sem dal prispevek tak jsem hledal a hledal , a je pravda ze i lecos nasel, jen to chci dat na chalupu a vecer si stim hrat vzdalene, tak bych potreboval trosku nakopnout.
Service Name WAN Interface - Start Port End Port Translation Start Port Translation End Port Server IP Address Protocol
na starem routru mam :User Defined ADSLWAN1 82 82 82 82 10.0.0.153 TCP/UDP


add action=dst-nat chain=NEJAKY.CHAIN disabled=no dst-port=80 protocol=tcp to-addresses=ADRESA to-ports=84
jakej CHAIN? zadam 82 tady jde dat UDP i TCP?

Dik

[pavlos]

Nasel jsem tohle potrebuju trosko porovnat zkratky DST a SRC DST je vnitrni ip adresa a SRC je zdrojova odkud se prichazi , kdyz se nezada tak to bere vsechno co prijde na SRC port a posle na IP DST a port DST?

/ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.1.1 to-port=1234


tak ted tu mam tohle jen prosim kontrolu


1 chain=dstnat action=accept protocol=tcp dst-address=10.0.0.153
src-port=8001 dst-port=8001

2 chain=dstnat action=accept protocol=tcp dst-address=10.0.0.153
src-port=8201 dst-port=8201

[Radek Úlehla]

Když nezadáš source adresu, tak si jí to veme samo, pokud je tam jen jedna, není to problém. V tomto případě je ale velmi vhodné definovat vstupní interface na který to přijde z venčí (in-interface=)

V těch pravidlech 1. a 2. je špatně action, tam musí být dst-nat, pokud to má něco forwardovat. Dle typu provozu je pak nutné zvolit buď UDP, TCP nebo obojí.

[pavlos]

Moc dík, takže by to mělo vypadat takhle?

chain=dstnat action=dst-nat interface=wan protocol=tcp dst-address=10.0.0.153
src-port=8001 dst-port=8001

[Radek Úlehla]

Ano, lze k tomu ještě pak připnout source adres list a filtrovat přístup na tento port.

[pavlos]

To by znamenalo ze bych mohl pristupovat pouze z nejake IP adresy?

[Radek Úlehla]

Ovšem

[pavlos]

Vim ze se ptam jako lachtan, ale kde se povoluje nebo na jakem portu se povoluje administrace MT a je tam defaultne nastavena? jedna se o pristup z wan. dnes k nemu pojedu tak cerpam informace. Dik

[Radek Úlehla]

v ip - services jsou porty služeb v MKT, lze měnit nebo zakazovat, zároveň tam lze definovat adresy, z kterých lze mít službu dostupnou

Stejné lze definovat i pomocí fw, kde je mnohem více možností.

[pavlos]

Jsou defaultne zapnute neby vypnute, a je jeste nejaka jina moznost jak se dostat na MT treba prez telnet?

[Radek Úlehla]

Ty si jak Lorenc.

Něco je zapnuté, něco vypnuté. Možnosti konfigurace jsou telnet, winbox, ssh, http, ty jsou zapnuté v základu.