RouterOS-Port weiterleiten

841
Sander

Ich möchte HTTP-Verkehr von 1.1.66.166:80 an LAN-ip 10.13.37.10:80 portieren, wenn mein Router läuft RouterOS 6.40

Aufbau:

/ip address print Flags: X - disabled, I - invalid, D - dynamic  # ADDRESS NETWORK INTERFACE  0 10.13.37.62/26 10.13.37.0 ether2  1 1.1.66.166/27 1.1.66.160 ether1   /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic  0 chain=dstnat action=dst-nat to-addresses=10.13.37.10 protocol=tcp dst-address=1.1.66.166 dst-port=80 log=yes log-prefix=""   1 chain=srcnat action=masquerade out-interface=ether1 log=no 

Es kommt aber kein Verkehr zum internen Host. Fehlt mir hier etwas?

Ich habe bestätigt, dass ich 10.13.37.10:80vom Router aus erreichbar bin .

Ich kann nicht protokollieren, dass die Regel ausgelöst wurde:

firewall,info dstnat: in:ether1 out:(none), src-mac xx:xx:d0:xx:3c:00, proto TCP (SYN), xx.xx.174.107:22880->1.1.66.166:80, len 60 
1
Da Regel 0 log = yes hat, sehen Sie Protokollnachrichten davon? grawity vor 7 Jahren 0
Ich mache, aber heraus: Schnittstelle ist (keine) .. kann nicht auf Ether2 gesetzt werden, da ich einen Fehler bekomme Sander vor 7 Jahren 0
Dies ist sinnvoll, da DNAT vor dem Routing (und vor der regulären Firewall-Filterung) vor dem Routing ausgeführt wird. grawity vor 7 Jahren 0
Fügen Sie eine Filterregel hinzu, um den Datenverkehr zu protokollieren, der zum internen Host geht: / ip Firewall-Filter add dst-address = 10.13.37.10 action = log chain = forward Duncan X Simpson vor 7 Jahren 0

1 Antwort auf die Frage

0
Marvin

Ich hoffe, es ist nur ein Teil Ihrer Firewall-Regeln :) Sie sollten alle eingehenden Ausnahmen filtern, außer etabliert und verwandt!

Da port forwardig FORWARD ist, kann ich weiterleiten, dass eingehende Pakete an 10.13.37.10 tcp-Port 80 weitergeleitet werden?

chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=80 log=yes log-prefix="---FORWARD-TO-80--- " 

Es besteht kein Sicherheitsrisiko, da Sie die Weiterleitung der eingehenden Verbindung für 80 / tcp zulassen. Das endgültige Ziel, das Sie mit der Dstnat-Regel verwalten.

Beachten Sie, dass Sie eabled aufgebaut und verwandt haben sollten:

chain=forward action=accept connection-state=established chain=forward action=accept connection-state=related 

da Ihr Webserver im LAN antwortet und seine Antworten den Remote-Client erreichen dürfen.