Для начинающих:Проброс портов

Материал из MikroTik WiKi rus
Перейти к: навигация, поиск

Что это?

Проброс портов это технология, позволяющая получать доступ к устройствам в локальной сети из-вне. Это происходит за счет правила, которое работает по условию: если пришел запрос на порт Х (входящий порт), то надо перенаправить трафик на порт Y (исходящий порт) устройства с IP-адресом Z. При этом входящий порт (X) и исходящий порт (Y) могут, как быть одинаковыми, так и различаться.

Icon-note.png

Примечание: Подробно проброс портов и другие темы рассматриваются в видеокурсе "Настройка оборудования MIkroTik". Курс содержит в себе все темы официальной программы MikroTik MTCNA.


Для чего нужно?

Проброс портов используется, если надо получить доступ из-вне к терминальному или веб-серверу внутри организации, если используются пиринговые сети. Многопользовательские игры то же иногда используют эту технологию.

Настройка

Для примера мы пробросим 80 порт, он обычно нужен если вы решили разместить у себя в локальной сети веб-сервер с вашим веб-проектом.

Схема проброса порта в MikroTik

В нашем примере: внешний порт маршрутизатора (ether5-WAN1) с адресом 10.1.100.1, внутренний адрес компьютера на котором веб-сервер 192.168.15.15.

Через графический интерфейс

Для того, чтобы пробросить порты надо в меню выбрать IP => Firewall и далее вкладку «NAT». Нажать значок + для добавления нового правила. Далее необходимо выполнить следующие настройки:

  • Вкладка General:
  1. Chain: dstnat
  2. Protocol: указать протокол 6 (tcp)
  3. Dst. Port: указать порт входящего соединения.
  4. In. Interface: выбрать интерфейс входящего соединения
Icon-note.png

Примечание:

Важно указывать входящий интерфейс, так как в противном случае маршрутизатор может перенаправить трафик с другого интерфейса по создаваемому нами правилу и это может привести к проблемам. Если в приведенном нами примере не указать входящий интерфейс, то в случае попытки из локальной сети открыть сайт по http:// маршрутизатор перенаправит поток на внутренний сервер с адресом 192.168.15.15.
Так же обратите внимание что для других задач, нужно будет указывать другой протокол (к примеру udp) - поэтому вы должны выяснить какие порты и с какими протоколами требуют проброса для вашей задачи (приложения).


Настройка проброса порта через графический интерфейс в МикроТик, 1

  • Вкладка Action:
  1. Action: dst-nat
  2. To Addresses: указать адрес на который надо выполнить проброс
  3. To Ports: указать порт на который надо выполнить проброс

Настройка проброса порта через графический интерфейс в МикроТик, 2

Через консоль

/ip firewall nat
 add action=dst-nat chain=dstnat dst-port=80 in-interface=ether5-WAN1 protocol=tcp to-addresses=192.168.15.15 to-ports=80 

Если в качестве входящего порта надо использовать порт, отличный от оригинального. Например, из-вне надо получить доступ по порту 8080, а веб-сервер при этом работает по 80-му порту, то надо соответствующим образом изменить параметр "Destination Port". Dst. Port: в графическом интерфейсе или dst-port в консоли.

Проверка

Воспользуйтесь многочисленными веб сервисами проверки, например этим.

Icon-note.png

Примечание:

Программа, которая должна отвечать по запрашиваемому порту должна быть активна, чтобы при проверке порт виделся как "открытый".
Например, порт для веб-сервера на самом деле открыт, но если веб-сервер не запущен, статус порта при проверке будет "закрыт".


Связанные материалы