Необхідність налаштування прокидання портів (Port Forwarding) на роутерах MikroTik зустрічається досить часто. Але навіть для досвідченого адміністратора конфігурування мікротіківських маршрутизаторів може здатися складним, тим більше для звичайного користувача. Хоча якраз за широкі функціональні можливості, поряд зі стабільністю та надійністю роботи, ці пристрої цінуються.
У сьогоднішній статті ми постараємося дати якомога зрозумілішу інструкцію з налаштування прокидання портів на прикладі роутера MikroTik RB951-2n (зображений на зображенні вище).
НАВІЩО ПОТРІБЕН ПРОКИДАННЯ ПОРТІВ?
Для чого взагалі вам може знадобитися таке налаштування? Найчастіше Port Forwarding використовується для:
- організації ігрового сервера домашньому комп'ютері,
- організації пірингових (однорангових) мереж,
- для доступу до IP-камери з Інтернету,
- коректної роботи торентів,
- роботи WEB та FTP-серверів.
НАЛАШТУВАННЯ PORT FORWARDING У MIKROTIK
У MikroTik керування налаштуванням прокидання портів знаходиться в меню IP => Firewall => NAT.
За замовчуванням тут прописаний маскарадинг - підміна внутрішніх локальних адрес зовнішнім адресою сервера. Ми ж тут створимо додаткове правило прокидання портів.
НАЛАШТУВАННЯ ВКЛАДКИ GENERAL
Натискаємо плюсик і в вікні заповнюємо кілька полів:
- Chain – напрямок потоку даних. У списку вибору - srcnat , що означає "зсередини назовні", тобто з локальної мережі у зовнішній світ, і dstnat - із зовнішньої мережі у внутрішню. Ми вибираємо друге, оскільки прийматимемо вхідні підключення.
- Src. Address Dst. Address - зовнішня адреса, з якої ініціюватиметься підключення, та адреса призначення (завжди адреса роутера). Залишаємо незаповненим.
- Protocol - тут вказуємо вид протоколу нашого з'єднання, tcp чи udp, заповнюємо обов'язково.
- Src. Port (вихідний порт) - порт віддаленого комп'ютера, з якого будуть надсилатися дані, залишаємо порожнім, якщо це не має значення.
- Dst. Port (порт призначення) – проставляємо номер зовнішнього порту роутера, на який будуть приходити дані від віддаленої машини та переадресовуватись на наш комп'ютер у внутрішній мережі.
- Ані. Port (будь-який порт) - якщо ми проставимо тут номер порту, то вкажемо роутеру, що цей порт буде використовуватися як вихідний, і як вхідний (об'єднуючи два попередні поля в одному).
- In. interface (вхідний інтерфейс) - тут вказуємо інтерфейс роутера MikroTik, у якому використовується, " слухається " цей порт. У нашому випадку, так як ми робимо прокидання для надходження даних ззовні, це інтерфейс, через який роутер підключений до Інтернету, це ether1-gateway . Параметр потрібно вказати обов'язково, інакше порт не буде доступним із локальної мережі. Якщо ми підключені до провайдера через pppoe, можливо, потрібно вказати його, а не WAN-інтерфейс.
- Out. interface ( вихідний інтерфейс) - інтерфейс підключення комп'ютера, котрій ми робимо прокидання портів.

НАЛАШТУВАННЯ ВКЛАДКИ ACTION
У полі Action прописуємо дію, яку має виконувати роутер. Пропонуються варіанти:
- accept - просто приймає дані;
- add-dst-to-address-list — адреса призначення додається до списку адрес;
- add-src-to-address-list — вихідна адреса додається до відповідного списку адрес;
- dst-nat — перенаправляє дані із зовнішньої мережі на локальну, внутрішню;
- jump - дозволяє застосування правила з іншого каналу, наприклад, при встановленому в полі Chain значення srcnat - застосувати правило для dstnat ;
- log - просто записує інформацію про дані в балку;
- masquerade — маскарадинг: заміна внутрішньої адреси комп'ютера чи іншого пристрою з локальної мережі на адресу маршрутизатора;
- netmap - створює переадресацію одного набору адрес на іншу, діє більш розширено, ніж dst-nat ;
- passthrough - цей пункт налаштування правил пропускається і відбувається перехід одразу до наступного. Використовується для статистики;
- redirect - дані перенаправляються на інший порт цього ж роутера;
- return — якщо до цього каналу ми потрапили за правилом jump, це правило повертає нас назад;
- same - рідко використовується налаштування тих самих правил для групи адрес;
- src-nat — переадресація пакетів із внутрішньої мережі у зовнішню (зворотне перенаправлення dst-nat).
Для наших налаштувань підійдуть варіанти dst-nat та netmap. Вибираємо останній, як новий і покращений.
У полі To Adresses прописуємо внутрішню IP-адресу комп'ютера або пристрою, на який роутер повинен буде перенаправляти дані щодо правила прокидання портів.
У полі To Ports , відповідно, номер порту, наприклад:
- 80/tcp - WEB сервер,
- 22/tcp - SSH,
- 1433/tcp - MS SQL Server,
- 161/udp - snmp,
- 23/tcp - telnet і так далі.
Якщо значення у полі Dst. Port попередньої вкладки і в полі To Ports збігаються, то тут його можна не вказувати.
Далі додаємо коментар до правила, щоб пам'ятати, навіщо ми його створювали.
Таким чином, ми створили правило для прокидання портів та доступу до внутрішнього комп'ютера (в локальній мережі) з Інтернету. Нагадаємо, що його потрібно поставити вище за стандартні правила маскарадингу, інакше воно не працюватиме (Мікротик опитує правила послідовно).
Якщо вам необхідно заходити за зовнішньою IP-адресою та з локальної мережі, потрібно налаштувати Hairpin NAT.