Порт RouterOS вперед
Я хочу перенаправить HTTP-трафик с 1.1.66.166:80 на LAN-ip 10.13.37.10:80 на работающем маршрутизаторе RouterOS 6.40
Конфигурация:
/ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 10.13.37.62/26 10.13.37.0 ether2
1 1.1.66.166/27 1.1.66.160 ether1
/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=dst-nat to-addresses=10.13.37.10 protocol=tcp dst-address=1.1.66.166 dst-port=80 log=yes log-prefix=""
1 chain=srcnat action=masquerade out-interface=ether1 log=no
Но никакой трафик не достигает внутреннего хоста. Я что-то здесь упускаю?
Я подтвердил, что могу достичь 10.13.37.10:80 с роутера.
Я получаю запись, что правило было запущено:
firewall,info dstnat: in:ether1 out:(none), src-mac xx:xx:d0:xx:3c:00, proto TCP (SYN), xx.xx.174.107:22880->1.1.66.166:80, len 60
1 ответ
Надеюсь, это только часть правил вашего брандмауэра:) Вы должны фильтровать все входящие, кроме установленных и связанных!
Поскольку forwardig порта - FORWARD, может быть, мне следует разрешить пересылку входящих пакетов на порт 80 10.3.37.10 tcp?
chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=80 log=yes log-prefix="---FORWARD-TO-80--- "
Это не представляет угрозы для безопасности, потому что вы разрешаете прямое соединение для 80/tcp. Конечный пункт назначения, которым вы управляете с помощью правила dstnat.
Обратите внимание, вы должны были установить и связать eabled:
chain=forward action=accept connection-state=established
chain=forward action=accept connection-state=related
потому что ваш веб-сервер в локальной сети будет отвечать, и его ответы должны быть разрешены для доступа к удаленному клиенту.