Находится по вкладке IP =>Firewall =>NAT.
Вы увидите, что по умолчанию в этом месте прописан маскарадинг, то
есть осуществляется подмена внутреннего локального адреса внешним
адресом самого сервера. Поэтому нужно создать нужное правило проброса
портов.
Настройка вкладки меню General
Кликаем на плюсик и в окне, что откроется, необходимо заполнить ряд полей:
● Chain – это направление потока информации. Среди выбора srcnat (изнутри наружу), означает из локальной сети во внешнюю, а dstnat означает из внешней во внутреннюю. Необходимо выбрать dstnat, ведь нужно принимать именно входящие подключения.
● Src. Address Dst. Address – это внешний адрес. С него будет инициировано подключение. Адрес назначения (адрес маршрутизатора). Ничего не заполняем.
● Protocol. Тут обязательно нужно указать вид протокола для существующего соединения – udp или tcp.
● Src. Port – это исходящий порт. То есть порт удаленного компьютера. С него будут отправляться данные. Поле, если неважно, оставляем пустым.
● Dst. Port – это порт назначения. Необходимо проставить номер внешнего порта маршрутизатора, куда будут приходить данные от удаленного компьютера и перенаправляться на нужный компьютер нашей внутренней сети.
● Any. Port – это любой порт. В случае проставления в этом поле номера порта, мы указываем маршрутизатору, что данный порт будет использован как исходящий и входящий. Объединит оба предыдущие поля в одно.
● In. Interface – это входящий интерфейс. Тут указываем интерфейс маршрутизатора Микротик, на котором используется данный порт. В нашей ситуации, ведь мы производим проброс для получения информации извне, это интерфейс, при помощи которого роутер подсоединен к Internet. И по умолчанию ether1-gateway. Этот параметр заполняется обязательно. Ведь порт не будет доступен из локальной сети. В случаях подключения к провайдеру через привычный pppoe, может быть, будет необходимо указать его в отличии от WAN-интерфейса.
● Out. Interface – это исходящий интерфейс. То есть, тот интерфейс
подсоединения компьютера для которого мы и производим проброс портов.
Настраиваем вкладку Action
В поле с названием Action необходимо прописать действие, которое будет выполняться роутером. Доступны следующие варианты:
● accept – по обычному принимаются данные;
● add-dst-to-address-list – назначаемый адрес для добавления в список присутствующих адресов;
● add-src-to-address-list – это исходящий адрес, что дописывается в соответствующий ему список адресов;
● dst-nat – перенаправит информацию из внешней сети в Вашу локальную, то есть во внутреннюю;
● jump – позволяет разрешить правило из прочего канала. К примеру, при вписанном в поле Chain значении srcnat, чтобы применить нужное правило для dstnat;
● log для записывания информации о данных в лог;
● masquerade – это маскарадинг. Подменяет внутренний адрес компьютера или прочего устройства из внутренней локальной сети на главный адрес роутера;
● netmap. Создаст переадресацию одного набора адресов на прочий. Больше функций, чем у dst-nat;
● passthrough. Данный пункт настройки правил будет пропущен и произойдет переход сразу к последующему. Нужен для статистики;
● redirect. Информация перенаправляется на прочий порт нашего же маршрутизатора;
● return. При попадании в этот канал в соответствии с правилом jump произойдет наше возвращение обратно;
● same. Редко применяемая настройка одних и тех же правил для нужной группы адресов;
● src-nat. Производит переадресацию пакетов из локальной сети во внешнюю. Является обратным dst-nat перенаправлением.
В поле с названием To Adresses необходимо прописать внутренний IP-адрес нужного нам компьютера или же соответствующего устройства, куда будут перенаправлены данные по созданному правилу проброса портов.
В поле с названием To Ports прописываем номер порта. Для примера:
23/tcp — telnet,
22/tcp — SSH,
161/udp — snmp,
1433/tcp — MS SQL Server,
80/tcp — WEB сервер.
Когда значения в полях Dst. Port и To Ports совпадают, то тут можно его не указывать.
Дальше необходимо добавить комментарий к правилу, дабы помнить с какой целью мы его создавали.
Вот так, мы с Вами создали правило для Port Forwarding и для доступа к нужному внутреннему компьютеру из Internet.
В случаях, когда нужно заходить именно по внешнему IP-адресу из локальной сети, тогда настройте Hairpin NAT.(+р)