RB951-2N прокидання портів

Необхідність налаштування прокидання портів (Port Forwarding) на роутерах MikroTik зустрічається досить часто. Але навіть для досвідченого адміністратора конфігурування мікротіківських маршрутизаторів може здатися складним, тим більше для звичайного користувача. Хоча якраз за широкі функціональні можливості, поряд зі стабільністю та надійністю роботи, ці пристрої цінуються.

У сьогоднішній статті ми постараємося дати якомога зрозумілішу інструкцію з налаштування прокидання портів на прикладі роутера MikroTik RB951-2n  (зображений на зображенні вище).

НАВІЩО ПОТРІБЕН ПРОКИДАННЯ ПОРТІВ?

Для чого взагалі вам може знадобитися таке налаштування? Найчастіше Port Forwarding використовується для:

  • організації ігрового сервера домашньому комп'ютері,
  • організації пірингових (однорангових) мереж,
  • для доступу до IP-камери з Інтернету,
  • коректної роботи торентів,
  • роботи WEB та FTP-серверів.

 

Чому виникає потреба у прокиданні портів? Справа в тому, що за умовчанням у роутерах працює правило так званого маскарадингу. IP-адреси комп'ютерів та інших пристроїв з локальної мережі не видно ЗА роутером у зовнішній мережі. При надходженні пакетів даних з внутрішньої мережі для відправки у зовнішній світ роутер відкриває певний порт і підміняє внутрішній IP пристрою на свою зовнішню адресу - надягає "маску", а при отриманні даних у відповідь на цей порт - відправляє їх на той комп'ютер всередині мережі, для якого вони призначаються. 

Маскарадінг у NAT

Таким чином, усі одержувачі даних із зовнішньої мережі бачать у мережі лише роутер і звертаються до його IP-адреси. Комп'ютери, планшети та інші пристрої в локальній мережі залишаються невидимими.

 

Робота NAT у зворотному напрямку

Ця схема має одну особливість: роутер приймає лише ті пакети даних, які надходять по з'єднанню, ініційованому комп'ютером із внутрішньої мережі. Якщо комп'ютер або сервер із зовнішньої мережі намагається встановити з'єднання першим, роутер його скидає. А для зазначених вище пунктів (ігровий сервер, пірингові мережі тощо) таке з'єднання має бути дозволено. Ось для цього і застосовується прокидання портів. Фактично це команда роутеру зарезервувати один порт і всі дані ззовні, які на нього надходять, передавати на певний комп'ютер. Т. е. зробити виняток з маскарадингу, прописавши нове правило.

 

НАЛАШТУВАННЯ PORT FORWARDING У MIKROTIK

У MikroTik керування налаштуванням прокидання портів знаходиться в меню IP => Firewall => NAT.

Port Forwarding у MikroTik

 

За замовчуванням тут прописаний маскарадинг - підміна внутрішніх локальних адрес зовнішнім адресою сервера. Ми ж тут створимо додаткове правило прокидання портів.

Port forwarding NAT Mikrotik

 

НАЛАШТУВАННЯ ВКЛАДКИ GENERAL

Натискаємо плюсик і в вікні заповнюємо кілька полів:

  • Chain – напрямок потоку даних. У списку вибору -  srcnat , що означає "зсередини назовні", тобто з локальної мережі у зовнішній світ, і  dstnat - із зовнішньої мережі у внутрішню. Ми вибираємо друге, оскільки прийматимемо вхідні підключення.
  • Src. Address  Dst. Address - зовнішня адреса, з якої ініціюватиметься підключення, та адреса призначення (завжди адреса роутера). Залишаємо незаповненим.
  • Protocol - тут вказуємо вид протоколу нашого з'єднання, tcp чи udp, заповнюємо обов'язково.
  • Src. Port (вихідний порт) - порт віддаленого комп'ютера, з якого будуть надсилатися дані, залишаємо порожнім, якщо це не має значення.
  • Dst. Port (порт призначення) – проставляємо номер зовнішнього порту роутера, на який будуть приходити дані від віддаленої машини та переадресовуватись на наш комп'ютер у внутрішній мережі.
  • Ані. Port (будь-який порт) - якщо ми проставимо тут номер порту, то вкажемо роутеру, що цей порт буде використовуватися як вихідний, і як вхідний (об'єднуючи два попередні поля в одному).
  • In. interface (вхідний інтерфейс) - тут вказуємо інтерфейс роутера MikroTik, у якому використовується, " слухається " цей порт. У нашому випадку, так як ми робимо прокидання для надходження даних ззовні, це інтерфейс, через який роутер підключений до Інтернету, це  ether1-gateway . Параметр потрібно вказати обов'язково, інакше порт не буде доступним із локальної мережі. Якщо ми підключені до провайдера через pppoe, можливо, потрібно вказати його, а не WAN-інтерфейс.
  • Out. interface ( вихідний інтерфейс) - інтерфейс підключення комп'ютера, котрій ми робимо прокидання портів.

 

Налаштування прокидання портів вкладка General

 

НАЛАШТУВАННЯ ВКЛАДКИ ACTION

У полі Action  прописуємо дію, яку має виконувати роутер. Пропонуються варіанти:

 
  • accept - просто приймає дані;
  • add-dst-to-address-list — адреса призначення додається до списку адрес;
  • add-src-to-address-list — вихідна адреса додається до відповідного списку адрес;
  • dst-nat — перенаправляє дані із зовнішньої мережі на локальну, внутрішню;
  • jump - дозволяє застосування правила з іншого каналу, наприклад, при встановленому в полі Chain значення srcnat - застосувати правило для dstnat ;
  • log - просто записує інформацію про дані в балку;
  • masquerade — маскарадинг: заміна внутрішньої адреси комп'ютера чи іншого пристрою з локальної мережі на адресу маршрутизатора;
  • netmap - створює переадресацію одного набору адрес на іншу, діє більш розширено, ніж  dst-nat ;
  • passthrough - цей пункт налаштування правил пропускається і відбувається перехід одразу до наступного. Використовується для статистики;
  • redirect - дані перенаправляються на інший порт цього ж роутера;
  • return — якщо до цього каналу ми потрапили за правилом jump, це правило повертає нас назад;
  • same - рідко використовується налаштування тих самих правил для групи адрес;
  • src-nat — переадресація пакетів із внутрішньої мережі у зовнішню (зворотне перенаправлення dst-nat).
 
 

Для наших налаштувань підійдуть варіанти dst-nat та netmap. Вибираємо останній, як новий і покращений.

Перекидання портів, налаштування вкладки Action

У полі To Adresses прописуємо внутрішню IP-адресу комп'ютера або пристрою, на який роутер повинен буде перенаправляти дані щодо правила прокидання портів.

У полі To Ports , відповідно, номер порту, наприклад:

  • 80/tcp - WEB сервер,
  • 22/tcp - SSH,
  • 1433/tcp - MS SQL Server,
  • 161/udp - snmp,
  • 23/tcp - telnet і так далі.

 

Якщо значення у полі  Dst. Port попередньої вкладки і в полі To Ports  збігаються, то тут його можна не вказувати.

Далі додаємо коментар до правила, щоб пам'ятати, навіщо ми його створювали.

Коментар до правила прокидання портів на Мікротиці

Таким чином, ми створили правило для прокидання портів та доступу до внутрішнього комп'ютера (в локальній мережі) з Інтернету. Нагадаємо, що його потрібно поставити вище за стандартні правила маскарадингу, інакше воно не працюватиме (Мікротик опитує правила послідовно).

Якщо вам необхідно заходити за зовнішньою IP-адресою та з локальної мережі, потрібно налаштувати Hairpin NAT.