Як налаштувати кидок портів на роутерах MikroTik
- Для чого потрібен кидок портів?
- Налаштування Port Forwarding в MikroTik
- Налаштування вкладки General
- Налаштування вкладки Action
Необхідність налаштування проброса портів (Port Forwarding) на роутерах MikroTik зустрічається досить часто. Але навіть для досвідченого адміністратора конфігурація мікротіковскіх маршрутизаторів може здатися складним, тим більше для звичайного користувача. Хоча якраз за широкі функціональні можливості, поряд зі стабільністю і надійністю роботи, ці пристрої і цінуються.
У сьогоднішній статті ми постараємося дати якомога більш зрозумілу інструкцію з налаштування проброса портів на прикладі роутера MikroTik RB951-2n (Зображений на малюнку вище).
Для чого потрібен кидок портів?
Для чого взагалі вам може знадобитися така настройка? Найчастіше Port Forwarding використовується для:
- організації ігрового сервера на домашньому комп'ютері,
- організації пірінгових (тимчасових) мереж,
- для доступу до IP-камері з інтернету,
- коректної роботи торрентів,
- роботи WEB і FTP-серверів.
Чому виникає необхідність в кидок портів? Справа в тому, що за замовчуванням в роутерах працює правило так званого маськарадінг. IP-адреси комп'ютерів і інших пристроїв з локальної мережі не видно ЗА роутером, у зовнішній мережі. При надходженні пакетів даних з внутрішньої мережі для відправки до зовнішнього світу роутер відкриває певний порт і підміняє внутрішній IP пристрою на свій зовнішній адресу - одягає "маску", а при отриманні відповідних даних на цей порт - відправляє їх на той комп'ютер всередині мережі, для якого вони призначаються.
Таким чином, всі одержувачі даних з зовнішньої мережі бачать в мережі тільки роутер і звертаються до його IP-адресою. Комп'ютери, планшети та інші пристрої в локальній мережі залишаються невидимими.
Ця схема має одну особливість: роутер приймає тільки ті пакети даних, які приходять по з'єднанню, ініційованого комп'ютером з внутрішньої мережі. Якщо комп'ютер або сервер з зовнішньої мережі починає з'єднуватися першим, роутер його скидає. А для зазначених вище пунктів (ігровий сервер, пирингові мережі і т. П.) Таке з'єднання має бути дозволено. Ось для цього і застосовується кидок портів. Фактично, це команда роутера зарезервувати один порт і всі дані ззовні, які на нього надходять, передавати на певний комп'ютер. Т. е. Зробити виняток з маськарадінг, прописавши нове правило.
Налаштування Port Forwarding в MikroTik
У MikroTik управління налаштуванням проброса портів знаходиться в меню IP => Firewall => NAT.
За замовчуванням тут прописаний той самий маськарадінг - підміна внутрішніх локальних адрес зовнішнім адресою сервера. Ми ж тут створимо додаткове правило проброса портів.
Налаштування вкладки General
Натискаємо плюсик і у вікні заповнюємо кілька полів:
- Chain - напрямок потоку даних. У списку вибору - srcnat, що означає "зсередини назовні", т. Е. З локальної мережі до зовнішнього світу, і dstnat - з зовнішньої мережі у внутрішню. Ми вибираємо друге, бо ж будемо приймати вхідні підключення.
- Src. Address Dst. Address - зовнішній адресу, з якого буде ініціюватися підключення, і адреса призначення (завжди адреса роутера). Ми залишаємо незаповненим.
- Protocol - тут вказуємо вид протоколу для нашого з'єднання, tcp або udp, заповнюємо обов'язково.
- Src. Port (вихідний порт) - порт віддаленого комп'ютера, з якого будуть відправлятися дані, залишаємо порожнім, якщо для нас це не має значення.
- Dst. Port (порт призначення) - проставляємо номер зовнішнього порту роутера, на який будуть приходити дані від віддаленої машини і переадресовані на наш комп'ютер у внутрішній мережі.
- Any. Port (будь-який порт) - якщо ми проставимо тут номер порту, то зазначимо роутера, що цей порт буде використовуватися і як вихідний, і як вхідний (об'єднуючи два попередні поля в одному).
- In. interface (входить інтерфейс) - тут вказуємо інтерфейс роутера MikroTik, на якому використовується, "слухається" цей порт. У нашому випадку, так як ми робимо кидок для надходження даних ззовні, це інтерфейс, через який роутер підключений до Інтернет, за замовчуванням це ether1-gateway. Параметр потрібно вказати обов'язково, інакше ПОРТ не буде доступним з локальної мережі. Якщо ми підключені до провайдера через pppoe, то можливо, буде потрібно вказати його, а не WAN-інтерфейс.
- Out. interface (вихідний інтерфейс) - інтерфейс підключення комп'ютера, для якого ми робимо кидок портів.
Налаштування вкладки Action
В поле Action прописуємо дію, яку повинен буде виконувати роутер. Пропонуються варіанти:
- accept - просто приймає дані;
- add-dst-to-address-list - адреса призначення додається в список адрес;
- add-src-to-address-list - вихідний адресу додається до відповідного списку адрес;
- dst-nat - перенаправляє дані із зовнішньої мережі в локальну, внутрішню;
- jump - дозволяє застосування правила з іншого каналу, наприклад при встановленому в поле Chain значення srcnat - застосувати правило для dstnat;
- log - просто записує інформацію про дані в лог;
- masquerade - маськарадінг: підміна внутрішнього адреси комп'ютера або іншого пристрою з локальної мережі на адресу маршрутизатора;
- netmap - створює переадресацію одного набору адрес на інший, діє більш розширено, ніж dst-nat;
- passthrough - цей пункт настройки правил пропускається і відбувається перехід відразу до наступного. Використовується для статистики;
- redirect - дані перенаправляються на інший порт цього ж роутера;
- return - якщо в цей канал ми потрапили за правилом jump, то це правило повертає нас назад;
- same - рідко використовувана настройка один і тих же правил для групи адрес;
- src-nat - переадресація пакетів з внутрішньої мережі в зовнішню (зворотне dst-nat перенаправлення).
Для наших налаштувань підійдуть варіанти dst-nat і netmap. Вибираємо останній, як більш новий і покращений.
В поле To Adresses прописуємо внутрішній IP-адреса комп'ютера або пристрою, на який роутер повинен буде перенаправляти дані за правилом проброса портів.
В поле To Ports, відповідно, номер порту, наприклад:
- 80 / tcp - WEB сервер,
- 22 / tcp - SSH,
- 1 433 / tcp - MS SQL Server,
- 161 / udp - snmp,
- 23 / tcp - telnet і так далі.
Якщо значення в полі Dst. Port попередньої вкладки і в поле To Ports збігаються, то тут його можна не вказувати.
Далі додаємо коментар до правилу, щоб пам'ятати, для чого ми його створювали.
Таким чином, ми створили правило для проброса портів і доступу до внутрішнього комп'ютера (в локальній мережі) з Інтернет.
Якщо вам необхідно заходити по зовнішньому IP-адресою і з локальної мережі, потрібно налаштувати Hairpin NAT, про це можна прочитати тут .
Про кидок портів для FTP-сервера розповідається тут .
Для чого потрібен кидок портів?
Для чого потрібен кидок портів?
Для чого взагалі вам може знадобитися така настройка?
Чому виникає необхідність в кидок портів?