Konfigurere Mikrotik, rippe porter rdp og ftp. Hvordan lage en port videresending i Mikrotik?

For Mikrotik merkevare rutere, er port forwarding kreves ganske ofte. For nettverksadministratorer og for uberedte brukere er løsningen på dette problemet imidlertid ganske vanskelig. Følgende er en kort instruksjon, hvoretter du lett kan utføre noen operasjoner av denne typen, men du må tinker med litt.

Konfigurere Mikrotik med port videresending. Hvorfor er dette nødvendig?

Før du fortsetter med å konfigurere ruteren, er det nødvendig å dvæle litt på prinsippene for portoverføring og hva som brukes til alt dette.

Standardinnstillingen for Mikrotik er at datamaskiner som ligger i det interne eller eksterne nettverket, ikke ser IP-adressene som er tilordnet andre terminaler. Her brukes regelen for den såkalte maskeraden når ruteren selv erstatter adressen til maskinen som den er bestemt av sin egen eksterne IP, når den mottar en forespørsel, selv om den åpner den nødvendige porten. Det viser seg at alle enhetene som er koblet til nettverket, ser bare ruteren, og de er hverandre usynlige.

I denne forbindelse, i enkelte situasjoner for Mikrotik-enheter, blir port forwarding en absolutt nødvendighet. De vanligste tilfellene er:

• Organisering av ekstern tilgang til enheter i nettverket basert på RDP-teknologier;
• Opprettelsen av et spill eller en FTP-server;
• Organisering av peer-to-peer-nettverk og etablering av riktig drift av torrentklienter;
• Tilgang til kameraer og videoovervåkningssystemer fra utsiden via Internett.

Tilgang til webgrensesnittet

Så fortsetter vi. For Mikrotik-rutere begynner portoverføring (RDP, FTP, etc.) med pålogging til enhetens styringssystem, kalt webgrensesnittet. Og hvis for de fleste kjente rutere som standard adresser 192.168 kombinasjoner med endinger enten 0,1 eller 1,1 brukes, virker denne varianten ikke her.

For tilgang i en nettleser (det er best å bruke standard Internet Explorer), er kombinasjonen 192.168.88.1 foreskrevet i adresselinjen, admin er oppgitt i påloggingsfeltet, og passordlinjen er som regel tom. I tilfelle når tilgang av en eller annen grunn er blokkert (ruteren aksepterer ikke påloggingen), må du tilbakestille innstillingene ved å klikke på riktig knapp eller koble enheten fra strømforsyningen i 10-15 sekunder.

Generelle innstillinger og innstillinger

Grensesnittet er lagt inn. Nå er det viktigste: i Mikrotik er port forwarding basert på opprettelsen av såkalte ekskluderingsregler for Masquerade-funksjonen (den samme maskeraden med substitusjon av IP-adresser, som ble nevnt ovenfor).

I de generelle innstillingene i brannmuren / NAT-delen kan du legge merke til at en regel allerede finnes. Den er angitt som en av fabrikkinnstillingene. Port videresending i det generelle tilfellet består i å legge til en ny regel ved å trykke på knappen med et plustegn, hvorefter det vil være nødvendig å fylle ut flere grunnleggende innstillingsfelter.

Eksempler på brukte porter

La oss nå se på noen mulige eksempler på bruk av porter. Avhengig av hva hver åpen port vil bli brukt til, kan verdiene være:

• Torrent: tcp / 51413;
• SSH: tcp / 22;
• SQL Server: tcp / 1433;
• WEB-server: tcp / 80;
• Telnet: tcp / 23;
• RDP: tcp / 3389;
• Snmp: utp / 161 etc.

Disse verdiene vil bare bli brukt til å hoppe over hver slik port.

Opprette regler og velge handlinger

Opprett nå en ny regel og fortsett å fylle inn innstillingsfeltene. Her må du være veldig forsiktig og fortsette fra nøyaktig hvilken tilgang som er nødvendig for å implementere (fra innsiden ut eller omvendt).

Parametrene skal være:

• Kjede: srcnat brukes til å få tilgang til det lokale nettverket, for å si det, til omverdenen, dstnat - å få tilgang til det lokale nettverket fra utsiden (velg det andre alternativet for innkommende tilkoblinger);
• Adressefelt Src. Og Dst. La være tomt;
• I protokollfeltet velger du enten tcp eller utp (vanligvis satt til 6 (tcp);
• Src. Porten er tom, dvs. Utgående port for eksterne tilkoblinger er ikke viktig;
• Dst. Port (destinasjonshavn): Angi porten for eksemplene ovenfor (for eksempel 51413 for torrents, 3389 for RDP, etc.);
• Enhver port kan stå tom, men hvis du angir et nummer, vil en port brukes både som en innkommende og som en utgående;
• I. Grensesnitt: porten til ruteren selv (vanligvis eter1-gateway) er skrevet inn;
• Ut. Grensesnitt: angir det utgående grensesnittet (kan hoppes over).

Merk: Ved port videresending for ekstern tilkobling fra utsiden (RDP) i Src-feltet. Adresse spesifiserer IP-adressen til den eksterne datamaskinen som den er ment for å få tilgang til. Standard RDP-tilkoblingsporten er 3389. De fleste fagpersoner anbefaler imidlertid ikke å gjøre dette fordi det er mye tryggere og enklere å konfigurere på VPN-ruteren.

Videre i Mikrotik-router antar port forwarding valget av en handling. Egentlig er det nok å spesifisere bare tre parametere:

• Handling: godta (enkel mottak), men for ekstern tilgang er dst-nat spesifisert (du kan angi en mer avansert nettkart-innstilling);
• Til adresser: Den interne adressen til maskinen som omadresseringen skal skje på, er oppgitt;
• Til Ports: Generelt sett er verdien satt til 80, men 51413 er angitt for riktig drift av samme torrent.

Konfigurere Mikrotik: FTP-port videresending

Til slutt, noen ord om hvilke innstillinger som trengs for FTP. Først og fremst må du konfigurere FTP-serveren selv, for eksempel basert på FileZilla, men dette er en separat samtale. I dette tilfellet er vi mer interessert i overføringen av FTP-porter Mikrotik, og ikke konfigurasjonen av serverdelen.

Det antas at FTP-serveren, selv om den krever spesifikasjon av et bestemt utvalg av porter, men det fungerer perfekt på kontrollporten 21. Det må være aktivert.

Som i det generelle tilfellet må du først opprette en ny regel, bare i denne situasjonen vil det være to: for kontrollporten og for hele spekteret av porter.

For port 21 skal parametrene være:

• Kjede: dst-nat;
• Dst. Adresse: Ruterens eksterne adresse (for eksempel 1.1.1.28);
• Protokoll: 6 (tcp);
• Dst. Havn: 21
• I. Grensesnitt: ether1-gateway.

Følgende verdier er angitt for Handling-fanen i handlingen:

• Handling: dst-nat;
• Dst. Adresse: adressen til terminalen der FTP-serveren er installert;
• Til havner: 21.

For et område (for eksempel 50000-50050), er alle alternativer like bortsett fra to parametere:

• I de generelle innstillingene for Dst. Port angir hele spekteret av porter;
• Når du velger en handling, passer det samme området i feltet To Ports.

Merk at når du konfigurerer FTP-videresending, må du følge ruterdokumentasjonen, og det står at det ikke anbefales å bruke den første terskelen til portområdet under verdien av 1024. Dette poenget bør også tas i betraktning.

I prinsippet kan du fortsatt bruke funksjonen Hairpin NAT Mikrotik, men det er bare nødvendig når du må angi en ekstern IP fra det lokale nettverket. Generelt trenger du ikke å aktivere det.