Port Forwarding за два или повече порта TCP 80

[ianiovski]

Здравейте, трябва ми да отворя 80 порт за  Web интерфейса на две устройства  , за едно устройство няма проблем , обаче как да го направя за две устройства без да сменявам само  IP адресите им в правилото за NAT-a ?  Мислех да сменя порта за Web интерфейса на едно от устройствата за да е с различен, обаче го нямам като опция и двете си работят на 80 .   

add action=dst-nat chain=dstnat protocol=tcp to-addresses=192.168.3.1

 

*Не съм уточнил специално 80 порт в правилото 

[Самуил Арсов]

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.1.10 to-ports=80
add action=dst-nat chain=dstnat dst-port=81 in-interface=ether1 protocol=tcp to-addresses=192.168.1.11 to-ports=80

В браузера от Интернет за единия ще въведеш:

http://xx.xx.xx.xx - той ще води към локалния адрес 192.168.1.10 на порт 80

а за другия:

http://xx.xx.xx.xx:81 - следващия ще води към локалния адрес 192.168.1.11 пак на порт 80

[ianiovski]

Обаче нещо не се получиха нещата, имам тези две правила с които пускам всички портове към 192.168.1.2 с изключение на 8291 за Winbox , пробвах преди твойте правила да му задам, че 81 порт пак да не го дава на към 192.168.1.2, а да сочи към 192.168.1.3 на 80 порт . 

 

 

[Самуил Арсов]

На 16.10.2023 г. at 11:43, ianiovski написа:

Здравейте, трябва ми да отворя 80 порт за  Web интерфейса на две устройства  , за едно устройство няма проблем , обаче как да го направя за две

Имаш точен въпрос.

На 16.10.2023 г. at 17:38, Самуил Арсов написа:

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.1.10 to-ports=80
add action=dst-nat chain=dstnat dst-port=81 in-interface=ether1 protocol=tcp to-addresses=192.168.1.11 to-ports=80

С точен отговор.

В момента показваш всъвсем други правила без да има връзка с това което си питал. Ако искаш, дай пак отначало, ама по ясно за да се опитаме да помогнем.

Все пак за да  изчистим бъдещи недоразумения във въпросите нека изясним:
1. Портовете не се отварят и не се затварят, рутера не може да прави такива неща. Портовете се пренасочват (forwarding).
2. Рутера пренасочва пакети от WAN порт към порт LAN устройство като номерата на портовете не е задължително да са еднакви.
3. Рутера освен номер на порт пренасочва и протоколи, обикновенно това са TCP или UDP, например TCP 81 от WAN към TCP 80 на домашния NAS.
4. Рутера не знае съдържанието на това което пренасочва, във всеки пакет който пристига до WAN-а има Header и в него има кратка информация за транспорта.
5. Пренасочването на всички портове се нарича DMZ и е равно на това да се застреляш в крака два пъти един след друг.
6. Пренасочването на портове в MikroТik е преди всички вериги, тоест преди input, forward, output, следователно ползваш ли порт го губиш по веригата надолу.
7. Когато правиш тест трябва да е само от Интернет защото твоят пакет няма да дойде от WAN порта а от LAN (има решение на това но трябват по задълбочени познания)

 

[ianiovski]

Схемата е такава , в локална мрежа с 16 битова маска 172.16.Х.Х , имам резервиран един IP адрес от нея на Микротика на  на eth1 (WAN)  и в него имам Bridge с  мрежа 192.168.1.0 с 29 битова маска  и в нея имам 2 устройства до които искам да имам достъп през Web интерфейса ,но  едното устройство  ползва и UDP  протокол за видео   . Достъпвам Микротика през мрежата 172.16.Х.Х  и искам да имам WEB достъп до двете устройства , достъп до Mikrotika през Winbox-a и отделно да върви и UDP до едно от устройствата . Това е цялата схема , в последствие влязох в Микротика и видях какво има Nat-то вътре и заради това и условието на въпроса се промени . 

Едното устройство е с адрес 192.168.1.2 (TCP 80 , UDP 1720) ,другото е  192.168.1.3 (TCP 80) и 192.168.1.1 (Bridge) . 

[JohnTRIVOLTA]

преди 33 минути, ianiovski написа:

Схемата е такава , в локална мрежа с 16 битова маска 172.16.Х.Х , имам резервиран един IP адрес от нея на Микротика на  на eth1 (WAN)  и в него имам Bridge с  мрежа 192.168.1.0 с 29 битова маска  и в нея имам 2 устройства до които искам да имам достъп през Web интерфейса ,но  едното устройство  ползва и UDP  протокол за видео   . Достъпвам Микротика през мрежата 172.16.Х.Х  и искам да имам WEB достъп до двете устройства , достъп до Mikrotika през Winbox-a и отделно да върви и UDP до едно от устройствата . Това е цялата схема , в последствие влязох в Микротика и видях какво има Nat-то вътре и заради това и условието на въпроса се промени . 

Едното устройство е с адрес 192.168.1.2 (TCP 80 , UDP 1720) ,другото е  192.168.1.3 (TCP 80) и 192.168.1.1 (Bridge) . 

Вдигни новите две правила над съществуващите глобални за пренасочване, които вече имаш!

[ianiovski]

Сигурно е тъп въпрос, но как става ? Може ли малко повече инфо ? 

[JohnTRIVOLTA]

Преди 1 час, ianiovski написа:

Сигурно е тъп въпрос, но как става ? Може ли малко повече инфо ? 

В уинбокс кликаш върху правилото и гo влачиш нагоре в таба. Друг вариант е през конзола:

/ip fi n move number=номера на правилото destination=0

[ianiovski]

Имам лек напредък, на правилото за port forwarding за 192.168.1.3 с 81 порт като избера  адреса 172.16.Х.Х:81  в Микротика започва да ми отчита пакети в правилото на NAT-a, защото преди да направя това с вдигането не отчиташе нищо , обаче на браузера ми дава Err_ssl_protocol_error

[ianiovski]

Обаче с въпросното правило забелязах, че след като пренасочиш порта  от 80 примерно на 1500, Web интерфейса отговаря и на 80 и на 1500. Как може да забраня изобщо на 80 да не отговаря ? Защото така ще ми отговаря и на двете устройства на 80  и може от там да става проблема . 

Ако му задам следното правило спира да ми работи и на 80 и на 1500  

/ip firewall filter
add action=drop chain=forward dst-address=192.168.1.2 dst-port=80 protocol=tcp

 

[Самуил Арсов]

На 17.10.2023 г. at 20:34, Самуил Арсов написа:

Все пак за да  изчистим бъдещи недоразумения във въпросите нека изясним:
1. Портовете не се отварят и не се затварят, рутера не може да прави такива неща. Портовете се пренасочват (forwarding).
2. Рутера пренасочва пакети от WAN порт към порт LAN устройство като номерата на портовете не е задължително да са еднакви.
3. Рутера освен номер на порт пренасочва и протоколи, обикновенно това са TCP или UDP, например TCP 81 от WAN към TCP 80 на домашния NAS.
4. Рутера не знае съдържанието на това което пренасочва, във всеки пакет който пристига до WAN-а има Header и в него има кратка информация за транспорта.
5. Пренасочването на всички портове се нарича DMZ и е равно на това да се застреляш в крака два пъти един след друг.
6. Пренасочването на портове в MikroТik е преди всички вериги, тоест преди input, forward, output, следователно ползваш ли порт го губиш по веригата надолу.
7. Когато правиш тест трябва да е само от Интернет защото твоят пакет няма да дойде от WAN порта а от LAN (има решение на това но трябват по задълбочени познания)

Пак ще те помоля да прочетеш това което съм написал по горе. Също и ще допълня:

1. Не си покзваш конфигурацията ? (ip firewall/nat/export compact)
2. Към WAN-а ли тества портовете който си конфигурирал ?
3. Рутера не може сам да пренасочва портове освен ако не е включено upnp ?
4. Ако имаш DMZ (пренсочване на всички портове) го махни, ще имаш проблеми !

[ianiovski]

Нищо кой знае какво няма в конфигурацията . Да от страната на Wan-a тествам нещата  и не DMZ  не ползвам . 

/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment="Uplink" poe-out=off
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] poe-out=off
set [ find default-name=ether5 ] comment="1"
set [ find default-name=ether6 ] comment="2" disabled=yes
set [ find default-name=ether7 ] comment=3" poe-out=off
set [ find default-name=ether8 ] comment="4" poe-out=off
set [ find default-name=sfp9 ] disabled=yes
set [ find default-name=sfp10 ] disabled=yes
set [ find default-name=sfp11 ] disabled=yes
set [ find default-name=sfp12 ] disabled=yes
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.6
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1 lease-time=1d name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 ingress-filtering=no interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.1.1/29 interface=bridge1 network=192.168.1.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=192.168.1.0/29 gateway=192.168.1.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=!8291 in-interface=ether1 protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat in-interface=ether1 protocol=!tcp to-addresses=192.168.1.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Europe/Sofia
/system identity
set name="Mikrotik"
/system note
set show-at-login=no
/tool romon
set enabled=yes

 

[Самуил Арсов]

Преди 3 часа, ianiovski написа:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=!8291 in-interface=ether1 protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat in-interface=ether1 protocol=!tcp to-addresses=192.168.1.2

Удивителен в RouterOS/iptables се описва когато искаш да сетнеш всичко без параметъра, тоест dst-port=!8291 значи, всички портове без 8291 отиват към адрес to-addresses=192.168.1.2. Това си е чиста проба DMZ, друг е въпроса, че не виждам каква е логиката въобще и на двете правила които си показал. За какво са ти тези удивителните въобще и знаеш ли те каква роля играят. Примера който ти дадох го разгледай пак, задължително на всяко правило имаш dst-port=80 към WAN и to-ports=80 към LAN. Рутера трябва да знае от кой порт на WAN да пренасочи към кой порт на LAN, съответно тези параметри трябва да ги има във всяко едно правило !!!

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.1.10 to-ports=80
add action=dst-nat chain=dstnat dst-port=81 in-interface=ether1 protocol=tcp to-addresses=192.168.1.11 to-ports=80

 

[ianiovski]

Както вече казах, не съм ги писал аз тези правила , вече бяха зададени .  Освен да ги махна всичките и да напиша 80 към 80 TCP   и 1720 UDP  на едното устройство  на което му трябва да предава видео , а на другото 80 към 81 TCP  . 

[ianiovski]

Открих си грешката и нещата се получиха , web interface е работил на порт 443, а не на 80.......

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.1.10 to-ports=443
add action=dst-nat chain=dstnat dst-port=81 in-interface=ether1 protocol=tcp to-addresses=192.168.1.11 to-ports=443