Проброс портов на маршрутизаторах MikroTik

Весьма часто появляется нужда в настройке проброса портов, так называемого Port Forwarding, на маршрутизаторах производства MikroTik. Нередко и опытный администратор стыкается со сложностями в конфигурировании роутеров МикроТик, не говоря об обычных пользователях. Хотя за счет присутствия большого количества функций роутеры этого производителя ценятся всеми и, конечно же, за стабильность и надежность.

В данной статье мы поможем и продемонстрируем инструкцию по тому, как производить проброс портов. Примером станет роутер MikroTik RB951-2n или новый Mikrotik hAP (RB951Ui-2ND) 

С какой целью делают проброс портов?

Если Вы спросите, зачем нужен Port Forwarding, то ответов несколько. Ведь эта процедура нужна для:

  • создания игровых серверов на домашних ПК;
  • развертывания пиринговых, то есть одноранговых сетей;
  • чтобы получить доступ к IP-камере из Internet;
  • нормального функционирования торрентов;
  • функционирования WEB и FTP-серверов.

Почему возникает нужда в пробросе портов? Вся суть в том, что по умолчанию в маршрутизаторах работает правило маскарадинга. То есть, IP-адреса компьютеров и любых других устройств в локальной сети не видны за маршрутизатором внешней сети. Когда поступают пакеты данных из внутренней сети, которые нужно отправить во внешний мир, маршрутизатор открывает нужный порт и производит замену внутреннего IP устройства на собственный внешний адрес, как бы надевает «маску». Во время получения ответных данных на тот же порт, просто отправляет эти данные на предназначенный компьютер внутри сети.


Получается, что все получатели информации из внешней сети могут увидеть в сети только непосредственно маршрутизатор и обращаются к назначенному ему IP-адресу. Сами компьютеры, различные планшеты и прочие устройства в локальной сети для них невидимы.


Представленная схема отличается одной особенностью – маршрутизатор принимает лишь те пакеты, что приходят по соединению, которое было инициировано компьютером из внутренней сети. Когда компьютер или же сервер из внешней сети желает соединиться первым, роутер его сразу же сбрасывает. В перечисленных нами выше пунктах (игровые сервера, пиринговая сеть и т.д) соединение такого типа должно быть дозволено. С этой целью и делают проброс портов. В принципе, это является командой маршрутизатору зарезервировать нужный порт и все данные, приходящие извне на него, должны передаваться на соответствующий компьютер.(+р) По факту, создается исключение из маскарадинга, по принципу прописывания нового правила.

Настройка проброса портов в MikroTik

В рассматриваемом нами роутере настройка проброса портов находится по вкладке IP =>Firewall =>NAT.

Вы увидите, что по умолчанию в этом месте прописан маскарадинг, то есть осуществляется подмена внутреннего локального адреса внешним адресом самого сервера. Поэтому нужно создать нужное правило проброса портов.

Настройка вкладки меню General

Кликаем на плюсик и в окне, что откроется, необходимо заполнить ряд полей:

● Chain – это направление потока информации. Среди выбора srcnat (изнутри наружу), означает из локальной сети во внешнюю, а dstnat означает из внешней во внутреннюю. Необходимо выбрать dstnat, ведь нужно принимать именно входящие подключения.

● Src. Address Dst. Address – это внешний адрес. С него будет инициировано подключение. Адрес назначения (адрес маршрутизатора). Ничего не заполняем.

● Protocol. Тут обязательно нужно указать вид протокола для существующего соединения – udp или tcp.

● Src. Port – это исходящий порт. То есть порт удаленного компьютера. С него будут отправляться данные. Поле, если неважно, оставляем пустым.

● Dst. Port – это порт назначения. Необходимо проставить номер внешнего порта маршрутизатора, куда будут приходить данные от удаленного компьютера и перенаправляться на нужный компьютер нашей внутренней сети.

● Any. Port – это любой порт. В случае проставления в этом поле номера порта, мы указываем маршрутизатору, что данный порт будет использован как исходящий и входящий. Объединит оба предыдущие поля в одно.

● In. Interface – это входящий интерфейс. Тут указываем интерфейс маршрутизатора Микротик, на котором используется данный порт. В нашей ситуации, ведь мы производим проброс для получения информации извне, это интерфейс, при помощи которого роутер подсоединен к Internet. И по умолчанию ether1-gateway. Этот параметр заполняется обязательно. Ведь порт не будет доступен из локальной сети. В случаях подключения к провайдеру через привычный pppoe, может быть, будет необходимо указать его в отличии от WAN-интерфейса.

● Out. Interface – это исходящий интерфейс. То есть, тот интерфейс подсоединения компьютера для которого мы и производим проброс портов.

Настраиваем вкладку Action

В поле с названием Action необходимо прописать действие, которое будет выполняться роутером. Доступны следующие варианты:

● accept – по обычному принимаются данные;

● add-dst-to-address-list – назначаемый адрес для добавления в список присутствующих адресов;

● add-src-to-address-list – это исходящий адрес, что дописывается в соответствующий ему список адресов;

● dst-nat – перенаправит информацию из внешней сети в Вашу локальную, то есть во внутреннюю;

● jump – позволяет разрешить правило из прочего канала.  К примеру, при вписанном в поле Chain значении srcnat, чтобы применить нужное правило для dstnat;

● log для записывания информации о данных в лог;

● masquerade – это маскарадинг. Подменяет внутренний адрес компьютера или прочего устройства из внутренней локальной сети на главный адрес роутера;

● netmap. Создаст переадресацию одного набора адресов на прочий. Больше функций, чем у dst-nat;

● passthrough. Данный пункт настройки правил будет пропущен и произойдет переход сразу к последующему. Нужен для статистики;

● redirect. Информация перенаправляется на прочий порт нашего же маршрутизатора;

● return. При попадании в этот канал в соответствии с правилом jump произойдет наше возвращение обратно;

● same. Редко применяемая настройка одних и тех же правил для нужной группы адресов;

● src-nat. Производит переадресацию пакетов из локальной сети во внешнюю. Является обратным dst-nat перенаправлением.

В поле с названием To Adresses необходимо прописать внутренний IP-адрес нужного нам компьютера или же соответствующего устройства, куда будут перенаправлены данные по созданному правилу проброса портов.

В поле с названием To Ports прописываем номер порта. Для примера:

23/tcp — telnet,

22/tcp — SSH,

161/udp — snmp,

1433/tcp — MS SQL Server,

80/tcp — WEB сервер.

Когда значения в полях Dst. Port и To Ports совпадают, то тут можно его не указывать.
Дальше необходимо добавить комментарий к правилу, дабы помнить с какой целью мы его создавали.

Вот так, мы с Вами создали правило для Port Forwarding и для доступа к нужному внутреннему компьютеру из Internet.
В случаях, когда нужно заходить именно по внешнему IP-адресу из локальной сети, тогда настройте Hairpin NAT.(+р)