Проброс портов на устройствах MikroTik

Настройка проброса портов в WinBox

В данном примере все управление устройством будет проходить через специальную программу WinBox от разработчиков MikroTik. Скачать её можно по этой ссылке (в самом низу страницы находится пункт Useful tools and utilities, и в нем есть ссылка на WinBox).

1. Запускаем WinBox, соеденяемся с устройством, и открываем в главном меню IP - Firewall.
   
2. Переходим на вкладку NAT, нажимаем на жирный синий плюсик (Add).
   
3. Появится окошко для создания нового правила NAT. В строке Chain обязательно должно стоять dstnat, в строке Protocol необходимо указать нужный протокол, в строке Dst. port нужно указать порт назначения. Примеры:Проброс веб-сервера: Protocol - tcp, Dst. port - 80.
   Проброс удаленного рабочего стола: Protocol - tcp или udp, port 3389.Обязательно нужно указать либо внешний IP адрес устройства (Dst. Address), либо внешний интерфейс (In. Interface), на который будут идти запросы, которые необходимо перенаправлять во внутреннюю сеть.

   

4. Проверяем, чтобы на вкладке Action, в одноименном пункте было выбрано dst-nat. Поле To Address заполняем IP адресом, на который необходимо осуществить проброс, To Ports - порт на который будет осуществлен проброс.
   
5. Если у вас есть блокирующие правила фаирволла, и нет исключения для нужного порта, который пробрасывается во внутреннюю сеть, то ничего работать не будет. Добавить разрешающие правило можно следующим образом - переходим во вкладку "Filter Rules", нажимаем на синий плюс (Add), и вносим следующие значения:
   Chain - Forward;
   Dst. Address - внутренний ip адрес, на который идет проброс;
   Protocol - протокол, который указывали ранее;
   Dst. Port - порт внутреннего устройства, по которому идет проброс.
   
6. Проверяем вкладку Action, там у параметра Action должно стоять значение Accept.
   
7. Тем не менее, это правило добавилось последним в списке, и правило фаирволла, которое блокирует все пакеты оказалось по приортиту выше. Чтобы поменять их местами, нужно воспользоваться встроенным в WinBox терминалом. Для этого в главном меню находим пункт "New Terminal".
   
8. В нем вводим следующую команду:

   /ip firewall filter move старая_позиция новая_позиция

   Вместо старая_позиция вводим номер только что созданного правила, вместо новая_позиция - тот номер, на который хотим его переместить.
   

9. Выше были описаны все необходимые манипуляции с устройством MikroTik, которые необходимо проделать для проброса портов с внешнего интерфейса на внутреннее устройство.