Проброс портов iptables в linux

Итак, как настраивать проброс портов, для того, чтобы работала наша почта через стандартные порты gmail?

1. Для начала идем на прокси-сервер с Usergate и там открываем раздел Назначение портов.Проброс портов на прокси — общий вид

На приведенном скриншоте видно конечный результат, который необходимо получить для настройки на порты gmail.com — 465 и 995 (в данном случае используется реальные имена и порты smtp и pop3-серверов соотстветствующего почтового сервера).

Следующим действием для настройки проброса портов необходимо нажать кнопку Добавить, и заполнить появившуся форму.

Проброс портов на прокси — smtp

Имя связи — указываем произвольно, но желательно, чтобы это было емкое название, помогающее вам впоследствии без труда идентифицировать плоды своего труда.

Протокол – TCP

Исходящий адрес – выбираем Адреса клиентов – по сути, здесь можно указать только один единственный адрес той машины, на которой нужен почтовый клиент, но раз мы говорим о работе всего, пусть и небольшого офиса, ставим именно так – Адреса клиентов. В этом случае все пользователи, которым разрешен доступ к прокси-серверу, независимо от их реального IP-адреса,  смогут работать через почтовый клиент.

Слушающий адрес – а вот здесь ставим внутренний (принадлежащий вашей локальной сети) IP-адрес машины, на которой находится прокси-сервер.

Слушающий порт – любой выбранный вами порт, по которому будет работать OutlookExpress на машине-клиенте, обращаясь к почтовику (gmail.com) через внутренний прокси-сервер.

Хост назначения – smtp.gmail.com

Порт назначения – 465

Последние два параметра – имя хоста, и порт на котором он принимает пакеты. Небольшой итог того, что мы поучили. Создано правило, по которому от компьютеров сети, являющихся пользователями в UserGate, запросы, идущие на IP-адрес прокси-сервера на порт 9025, прокси-сервером будут пересылаться в Интернет на 465 порт gmail.com, чего и нужно было достичь.

Аналогичные манипуляции для проброса портов почтового сервера gmail проводим со входящей почтой:

Проброс портов на прокси — pop

После того, когда мы разобрались с тем, как настроить проброс портов для почтового сервера на прокси-сервере, переходим к настройкам клиентской части.

Страницы: 1

Открытие портов

Что такое технология GPON от «Ростелекома» Работу надо начинать после проверки того, что аппаратура использует последнюю версию прошивки ПО. Роутеры, предоставляемые «Ростелекомом» в аренду, имеют разные интерфейсы. Чтобы выполнить на маршрутизаторе проброс портов, используется несколько способов. Для того чтобы пробросить порты на роутерах «Ростелекома» (открыть их или перенаправить), надо знать адрес ПК в локальной сети. Для этого кликаем правой кнопкой мыши по значку нужного соединения и в контекстном меню выбираем пункт «Состояние». В сведениях о подключении узнаем адрес IPv4, назначенный маршрутизатором компьютеру. Здесь же можно видеть и его MAC-address, который может пригодиться в дальнейшем.

Порт может использоваться протоколами TCP и UDP. Первый из них гарантирует передачу данных с проверкой собственными средствами. Второй осуществляет передачу без гарантии, но скорость обмена намного выше за счет меньшей нагрузки на процессор. Его применение оправдывает себя в онлайн-играх с большим количеством участников. Кроме этой проверки операционная система (ОС) компьютера имеет свои средства защиты от проникновения вирусов. У «Ростелеком»-роутера в его программном обеспечении присутствует межсетевой экран, защищающий абонентов локальной сети от проникновения вредоносных продуктов из интернета.

Таким образом, необходимо создать правило допуска сообщений нужной программы. Код ее передается в виде IP-адреса устройства в локальной сети с добавлением номера порта (добавляется в передаваемом пакете после знака двоеточия «:»). Для того чтобы произошло перенаправление, ПК должен находиться в одной сети с маршрутизатором от «Ростелекома», который ему этот адрес назначает.

В настройках роутера от «Ростелекома» в пункте WAN раздела «Сеть»проверяем установку галочек в клетках с обозначением NAT, IGMP, «Сетевой экран».

Включаем функцию UPnP, отвечающую за автоматическое открытие портов.

Сохраняем настройки. Многие роутеры от «Ростелекома» в своем меню расширенных настроек имеют пункт DMZ (демилитаризованная зона). При его использовании включается открытие всех портов для локального IP-адреса устройства, указанного в строке. Но надо учесть, что одновременное включение DMZ и UPnP может приводить к конфликтным ситуациям.

При отсутствии в меню роутера от «Ростелекома» функции DMZ можно воспользоваться пунктом «Виртуальные серверы» (Virtual Servers), расположенного в разделе «Переадресация» (Forwarding).

На странице нажимаем кнопку «Добавить новый» (Add new). В открывшейся форме указываем внутренний и внешний порты, которые используются программой для работы (или диапазоны портов). Следующее поле предназначено для IP-адреса компьютера в локальной сети. Как его узнать, было описано выше. В строке «Протокол» (Protocol) записываем TCP/UDP, «Статус» (Status) оставляем «Включено» (Enable) и сохраняем введенные данные.

Игровые порты: что, куда бросаем?

Какой порт открыть — зависит от конкретного программного обеспечения. Некоторые программы требуют проброса нескольких портов, другим — достаточно одного.

У разных игр требования тоже отличаются — в одни можно играть даже с «серого» адреса, другие без проброса портов потеряют часть своих возможностей (например, вы не будете слышать голоса союзников в кооперативной игре), третьи вообще откажутся работать.

Например, чтобы сыграть по сети в «Destiny 2», нужно пробросить UDP-порт 3074 до вашей «плойки», или UDP-порт 1200 на Xbox. А вот до ПК потребуется пробросить уже два UDP-порта: 3074 и 3097.

В следующей таблице приведены некоторые игры и используемые ими порты на ПК:

Открыть порт в Windows брандмауэре не так сложно, но сложно если не знать как его открывать.

Для чего может понадобится необходимость открыть порты?

По умолчанию Windows защитила пользователя, закрыв все порты, кроме тех, что используются непосредственно системой и ее прикладными программами. Поэтому, когда мы устанавливаем какую-либо программу или игру, у нас что-то не работает. Инструкция к программе или форум технической поддержки игры говорит нам открыть необходимый порт для исправной работы. Для WOT это могут быть, например UDP-диапазон 32800 – 32820 и UDP порты 53, 20020, TCP-диапазон 32800 – 32820 и TCP-порты 80, 443 и 20020. Для каких-нибудь онлайн-чатов могут быть другие порты, для torrent – другие, майнкрафт и CS 1.6 – другие. Давайте приступим к делу и откроем порт для входящих и исходящих соединений по 25565 TCP-порту.

Открыть порт на Windows 10.

Для начала переходим в брандмауэр, порты открываются в нем. 1.Нажимаем кнопку Windows – значок “шестеренка” Параметры – Обновление и безопасность. 2. В левом меню ищем Безопасность Windows. 3. Брандмауэр и защита сети. 4. Дополнительные параметры. 5. В открывшемся окне “Монитор брандмауэра Защитника Windows в режиме повышенной безопасности включен Локальный компьютер” слева видим меню, где есть пункты “Правила для входящих подключений” и “Правила для исходящих подключений“.

6. Начнем с настройки входящих подключений. 6.1. В левом меню выбираем «Правила для входящих подключений» (Inbound Rules). В правой колонке – «Создать правило» (New Rule). 6.2. В новом окне выбираем «Для порта» (Port) и Далее (Next). 6.3. Выбираем необходимый протокол: TCP. Вводим в поле «Определённые локальные порты» (Specific local ports) наш порт 25565. Если портов несколько, то добавляем все через запятую или если это диапазон портов, то через тире. Нажимаем Далее (Next). 6.4. Следующим шагом выбираем «Разрешить подключение» (Allow the connection) и Далее (Next). 6.5. Профили подключения можно оставить по умолчанию включенным и Далее (Next). 6.6. Задаем имя созданного правила, обычно пишется название программы для который открывается порт и номер порта и Готово.

Таким образом мы открыли порт 25565 для входящих соединений. «Правила для исходящих подключений» делается аналогично, попробуйте самостоятельно.

Как открыть порт на Windows 7.

Открываем брандмауэр. Переходим по этапам меню Пуск – панель управления – Брандмауэр Защитника Windows – Дополнительные параметры. Далее аналогично инструкции по открытию порта на Windows 10 (выше), начиная с пункта 6. Начнем с настройки входящих подключений.

Как открыть порты на Windows 7, 8, 8.1, знают далеко не все, зато слышали о них, наверное, многие пользователи ПК. Однако для некоторых онлайн-игр или программ, требующих доступа к интернету, открытие дополнительных подключений становится необходимым. Иногда требуется открыть или проверить уже открытые порты.

Открытие порта в Windows

Брандмауэр

После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.

В настройки брандмауэра проще всего попасть двумя способами:

• Записываем в строке поиска “Брандмауэр Защитника Windows”. После ввода первых нескольких букв, находится нужное приложение.
• Выполнить “firewall.cpl”. Для этого надо одновременно нажать комбинации клавиш + , в поле поле открыть записываем команду и нажимаем “OK”.

В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.

Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.

Два раза щелкаем мышью по пункту “Правила для входящих подключений”. После этого в правой колонке, которая называется “Действия” жмем на “Создать правило…”.

Выбираем тип правила “Для порта” и жмем далее.

Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через “-“.

Выбираем “Разрешить подключение”.

Указываем галочками профили.

Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.

После того как параметры были настроены, жмем кнопку “Готово”. Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.

Отключение брандмауэра

В основном меню брандмауэра имеется пункт “Включение и отключение брандмауэра Защитника Windows”.

Выбрав этот пункт, можно отключить брандмауэр. Но это делать не рекомендуется, разве что для проверки того, что именно брандмауэр влияет на то, что не удается открыть порт.

После проверки не забудьте включить брандмауэр.

Перед тем как погрузится в мир настройки описываемой службы, следует пояснить для каких целей она применяется. Наверно, все в какой-то мере пробовали играть в он-лайн игры с использованием сети Интернет (Рис. 1).

Вы подключаетесь к определенному серверу, и начинается сеанс игры (направление установления сеанса показано стрелками). Но что будет, если вы хотите организовать подобный сервер у себя дома? Или в связи с постоянным доступом в Интернет, посредством ADSL модема, возникло желание перенести свою домашнюю страничку с бесплатного хостинга на свой домашний HTTP сервер. А может, вы часто ездите по миру и вам необходимо сделать доступ на свою директорию при помощи FTP сервера. В этом случае, удаленный компьютер должен обратиться к вашему Игровому, HTTP или FTP серверу, находящемуся за xDSL модемом (направление установления сеанса показано стрелками), но тогда непременно возникнет следующая проблема — невидимость вашего персонального компьютера или локальной сети из-за службы NAT/Firewall модема (Рис. 2).

Следует это из-за того, что невозможно обратиться к вашему персональному компьютеру с IP адресом 192.168.1.2 из сети Интернет (подробности читайте во врезке о службе NAT). Но, в тоже время, вы всегда можете обратиться к публичному IP адресу вашего модема, получаемого из пула IP адресов провайдера. Для чего это можно применить? А очень просто. Совместно со службой NAT можно настроить проброс портов, открытых на WAN интерфейсе модема, во внутреннюю сеть на определенный персональный компьютер и, таким образом, получить доступ к Игровому, HTTP или FTP серверу. Да и не только к ним, а к любому порту, используемому сетевым приложением на вашем персональном компьютере. Именно для реализации всего этого применяется служба Port Forwarding.

«>

Типы перенаправления потов

Есть три основных типа перенаправления портов, у каждого из которых свои задачи и функции.

Локальное перенаправление портов

Этот тип перенаправления портов используется чаще всего — он позволяет безопасно перенаправить данные от клиентского приложения, запущенного на вашем компьютере. Так пользователь сможет подключиться к другому серверу через защищенный туннель и отправить данные на какой-то конкретный порт. Также с помощью этого типа перенаправления можно обходить блокировки доступа, устроенные с помощью файрволлов.

Удаленное перенаправление портов

Этот тип дает возможность пользователям удаленного сервера подключиться к порту TCP. Удаленное перенаправление пригодится для установки доступа ко внутреннему веб-серверу извне — например, когда работающие удаленно сотрудники компании подключаются к защищенному серверу.

Динамическое перенаправление портов

Это достаточно редкая форма перенаправления, позволяющая обходить файрволлы за счет их известных уязвимостей. Так клиенты устанавливают безопасное подключение через «доверенный» сервер, играющий роль посредника и передающий данные другим серверам. Этот тип перенаправления может использоваться в качестве дополнительного уровня защиты при подключении к подозрительной сети (например, сети в отеле или гостинице).

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

• Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
• Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
• Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
• Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
• Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
• Dst. Port – вот здесь указываем 3389 как писалось выше.
• Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
• In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.

Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
Out. Interface List – тоже самое что и 10 пункт только исходящий.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Здесь настраиваем так:

• Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
• Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
• Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
• To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
• To Ports – ну и TCP порт на который пересылать.

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Настройки видеорегистраторов

Подошли к самому важному моменту, попробую предположить к тому, ради которого вы читаете эту статью. Сперва заходим в видеорегистратор и настраиваем

Если у вас одна камера, заходим через web-интерфейс на камеру, настраиваем сетевые настройки видеокамеры.

Сетевые настройки аналогового видеорегистратора

Для удаленного подключения к камерам видеонаблюдения в роутере необходимо выполнить проброс портов, указанных в видеорегистраторе. Для слишком мнительных пользователей, которые думают о безопасности доступа к камерам, открываемые порты можно изменить, но тогда могут возникнуть трудности в настройках.

Краткая инструкция по настройке видеорегистратора

Для того чтобы не ошибиться какие порты нам нужно пробрасывать, заходим в сетевые настройки ip видеорегистратора и открываем порты в роутере, указанные в окнах TCP, HTTP, CDM, RTSP и др. В зависимости от марки производителя и чипсета, они могут быть различны. Также вы можете их задать самостоятельно вручную.

Как закрыть порты

Очень часто при использовании пользователем различных веб-серверов и сервисов удалённого доступа может возникнуть необходимость закрыть тот или иной порт. Осуществить эту процедуру можно в админ-панели маршрутизатора. Удаление портов производится в той же вкладке, где настраивался их проброс («Переадресация» → «Виртуальные серверы»). В списке открытых портов напротив каждого из них есть две ссылки «Изменить» и «Удалить». Нажав на вторую, произойдёт закрытие (удаление) порта и он перестанет отображаться в панели управления.

Для редактирования и удаления открытых портов во вкладке «Виртуальные серверы» есть соответствующие ссылки

Настройка перенаправления портов в веб-интерфейсе роутера не требует определённых знаний. Пользуясь вышеизложенной инструкцией на примере маршрутизатора TP-Link, любой пользователь при необходимости сможет открыть доступ к устройствам локальной сети из интернета. Алгоритм проброса портов в роутерах других производителей может несколько отличаться, но главные этапы настройки будут одинаковы.

Что такое перенаправление портов?

Перенаправление портов позволяет входящим соединениям из Интернета достигать определенных устройств и программ в частной сети. Частная сеть может состоять из всех устройств, подключенных к маршрутизатору Wi-Fi, или всех пользователей, подключенных к VPN.

Если установлен брандмауэр NAT и другой компьютер в Интернете пытается установить соединение с вашим устройством, это соединение блокируется и сбрасывается. Переадресация портов разрешает незапрашиваемые соединения через брандмауэр NAT на определенных портах, что позволяет устройствам в Интернете инициировать соединения и получать доступ к службам на локальном устройстве. Например, другие торренты могут загрузить с вашего устройства общий файл.

Чтобы понять, что такое переадресация портов и как она работает, вы должны сначала иметь некоторое представление о брандмауэрах NAT. И Wi-Fi-маршрутизаторы, и VPN часто имеют встроенные межсетевые экраны NAT. Каждое устройство, подключенное к Wi-Fi-маршрутизатору или VPN-серверу, имеет общий IP-адрес, но имеет уникальный частный IP-адрес.

NAT или N etwork ddress T ranslation, что делает возможным для многих устройств совместно использовать один публичный IP – адрес. Входящие соединения сначала идут на ваш маршрутизатор или VPN-сервер через общедоступный IP-адрес. Эти соединения затем перенаправляются на отдельные устройства в соответствии с их номером порта и локальным IP-адресом.

К исходящим запросам привязан номер порта. Когда они получают ответ, включается номер порта, указывающий на устройство, на которое должны быть отправлены данные.

Однако, если вы получаете незапрошенный запрос на подключение, к нему не будет прикреплен номер порта, поэтому запрос отклоняется. Таким образом, NAT предотвращает злонамеренные запросы и создает простой, но эффективный межсетевой экран.

Однако в некоторых ситуациях вам необходимо разрешить нежелательные соединения. Переадресация портов позволяет пробить брешь в брандмауэре NAT, чтобы разрешить входящие соединения, помеченные указанным портом. Эти соединения перенаправляются на устройство, указанное в вашей настройке.

Как включить проброс портов?

Делается это двумя способами — автоматически или вручную. По умолчанию в большинстве оборудования функция UPuP, которая позволяет сделать перенаправление трафика, активируется автоматически, но если возникают проблемы, когда вы хотите обмениваться файлами по торренту или создать сеть для игры, то стоит проверить, работает ли функция через параметры маршрутизатора.

На моделях TP-Link это делается так:

• Зайдите в меню роутера, введите в адресной строке браузера свой IP-адрес, авторизуйтесь (обычно для этого вводится значение Admin).
• Выберите строку «Переадресация», включите данную функцию, если прежде она была не активирована.

В продукции марки Asus необходимо зайти в меню Интернет, пункт Подключение и поставить флажок активации напротив функции UPuP.

При возникновении проблем с раздачей данных через торрент, после активации зайдите в программу и через настройки включите функцию UPuP.

Destination NAT

Цепочка Dstnat при настройке NAT на MikroTik служит для изменения IP-адреса и/или порта назначения и выполнения обратной функции для ответа.

Практически применяется в следующих случаях:

• Чтобы выполнить на MikroTik проброс портов в локальную сеть, для доступа извне.
• Перенаправление любого DNS-трафика через маршрутизатор.

Стандартные действия возможные для цепочки dst-nat:

• dst-nat – преобразование адреса и/или порта получателя;
• redirect – преобразование адреса и/или порта получателя на адрес маршрутизатора.

Давайте практически разберем, как выполняется настройка NAT на MikroTik для цепочки dstnat.

Проброс портов на MikroTik

Пример проброса порта для RDP

Как говорилось ранее, в MikroTik проброс портов делается при помощи создания правил для цепочки dstnat. В качестве примера выполним проброс порта RDP соединения для доступа к внутреннему компьютеру локальной сети.

Так как стандартный порт 3389 для RDP подключения является известным и часто подвергается атакам, то пробросить его напрямую будет не очень хорошей идеей. Поэтому скроем данный сервис с помощью подмены порта.  

Для этого откроем:

IP=>Firewall=>NAT=> “+”.

На вкладке “General” укажем цепочку правил, протокол, протокол подключения и входящий интерфейс:

Где:

• Chain: dstnat – цепочка правил для IP-адреса назначения;
• Protocol: 6 (tcp) – протокол;
• Dst. Port: 47383 – номер порта по которому будем обращаться к роутеру;
• In. Interface – входящий WAN-интерфейс (у меня это ether1, у вас может быть другой).

Следующим шагом откроем вкладку “Action”:

• Для поля “Action” указываем значение dst-nat;
• To Addresses – указываем внутренний IP хоста, к которому хотим получить доступ по RDP;
• To Ports – порт на который будут перенаправляться запросы.

Как итог все запросы, приходящие на внешний IP роутера по порту 47383, будут пересылаться на внутренний адрес локальной сети 192.168.12.100 порт 3389 (RDP).

Проброс порта на MikroTik для видеонаблюдения

Следующим примером мы постараемся показать, как настроить на MikroTik проброс портов для видеосервера с установленным ПО “Линия”.

Предположим, что есть Видеосервер с ПО “Линия” к которому необходимо получить доступ извне. Для начала откроем настройки программного обеспечения “Линия”, чтобы узнать порт Веб-сервера:

Чтобы получить доступ к видеосерверу, необходимо пробросить порт 9786. Откроем Winbox и добавим правило:

Откроем пункт меню “Action”:

• Указываем действие dst-nat;
• To Addresses – внутренний IP видеосервера или видеорегистратора.

Проброс портов для нескольких внешних IP

Чтобы сделать проброс портов для нескольких WAN, то необходимо создать Interface List и добавить в него нужные интерфейсы. Далее укажем созданный лист в параметре In. Interface List. Покажем это на примере:

Создадим новый лист для интерфейсов “ISP”:

• Interfaces;
• Interface List => Lists => “+”.

Name: ISP – произвольное имя для Interface List.

Следующим шагом добавим нужные WAN интерфейсы:

Повторить данный шаг для всех WAN-интерфейсов.

Модернизируем ранее созданное правило проброса порта для RDP соединения, указав лист “ISP” для настройки In. Interface List:

Так можно настроить проброс портов на MikroTik для нескольких WAN.

Как защитить проброшенные порты вы можете узнать изучив статью MikroTik настройка Firewall.

Перенаправление трафика на маршрутизатор

С помощью действия redirect возможно перенаправление трафика на Микротик. Практическое применение данного действия мы рассмотрим, выполнив переадресацию запросов DNS.

Перенаправим весь DNS-трафик на маршрутизатор. Следовательно, пользователи компьютеров в LAN, какие бы настройки DNS ни указывали локально, будут считать, что им отвечает DNS-сервер, которому сделан запрос, но фактически ответ будет приходить от маршрутизатора.

Для этого выполним настройку NAT на MikroTik следующим образом.

Откроем: IP=>Firewall=>NAT=> “+”.

Добавим запись:

Перейдем в пункт меню “Action” и укажем действие redirect:

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services

Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

В чем заключается суть проброса портов?

В стандартной ситуации, если у нас интернет с внешним IP адресом подключен непосредственно в компьютер или сервер, мы вводим этот IP адрес в утилиту подключение к удаленному рабочему столу, она автоматически пытается подключиться к порту 3389, даже если мы его не указали, так как он является стандартным для RDP протокола.

И если доступ по данному протоколу разрешен, то мы успешно подключаемся и работаем удаленно.

Но, когда мы пытаемся указать этот же IP адрес, но интернет подключен в роутер, то ничего не произойдет, так как сам роутер не работает с протоколом RDP. Однако, мы можем ему объяснить, что когда кто-то пытается подключиться к порту 3389, то этот запрос нужно пересылать на определенный компьютер с соответствующим портом. И тогда все отлично, мы получим доступ к удаленному рабочему столу.

Но, если вам нужно иметь возможность подключаться к разным компьютерам, то для каждого этого компьютера мы создадим правило с не стандартным портом, который будет перенаправлять запрос на определенную машину. Да и в любом случае не стоит использовать стандартный порт 3389, так как зная ваш IP адрес злоумышленник сразу попадет на машину, на которую вы настроили проброс портов, а так он не будет знать, на какой порт настроен проброс.

В результате чего система будет работать следующим образом, когда мы вводим IP адрес с нужным портом, роутер проверяет в таблице проброса, есть ли для этого порта правило проброса и, если есть, отправляет нас на нужную машину.

Так мы можем одновременно запустить в сеть несколько удаленных сотрудников, все что требуется, создать для каждого правило и отправить строку с IP адресом и портом. Пароль от машины он уже сам должен знать.

Заключение

Большинство роутеров имеют похожую архитектуру и конфигурацию, поэтому в интернете лежит достаточное количество настроек и пресетов для каждой модели. Загружая готовый профиль для своего устройства, можно сэкономить время и силы, потраченные на настройку. Если есть желание разобратьсья в этом самостоятельно — данная статья как нельзя лучше в этом поможет.

Выполнить проброс рекомендуется сразу после установки роутера, так как стандартные настройки буду накапливать много ошибок в роутере, что повлияет на качество связи и срок службы устройства. Обычные протоколы и алгоритмы передачи данных не настроены под все устройства.