среда, 30 ноября 2011 г.

настройка NAT проброс портов mikrotik routerboard

Допустим, провайдер дал нам несколько белых IP-адресов и у нас есть пара серверов, которые должны "выходить в интернет" с определенных выданных адресов.
Например:
внутренняя сеть 192.168.0.0\24
внешние адреса А: 94.54.230.140 Б: 94.54.230.141 (внешние адреса взяты наугад)
сервер1 192.168.0.2 должен обмениваться пакетами с адреса А, сервер2 192.168.0.3 с адреса Б
Что мы делаем:
Прежде всего, добавляем на роутере эти два адреса, прописываем выданную провайдером IP-конфигурацию.
Идем IP->Adress List, создаем новый адрес


Тут понятно, что заполняем, то что дал нам провайдер, указываем какой интерфейс у нас внешний.

Дальше идем в настройки IP->Firewall на вкладку Mangle
-Создаем новое правило.
-В поле Chain указываем prerouting
-Указываем IP исходящего сервера в поле Src.Address


-Переходим на вкладку Action,т.е. указываем что делать с такими пакетами идущими с адреса 192.168.0.2
-Устанавливаем в поле Action : mark packet
-В поле New Mark packet указываем какие маркеры будут иметь такие пакеты при дальнейшей маршрутизации в NAT. Допустим в нашем случае маркер называется post.



-Нажимаем Ок. Больше на вкладке Mangle ничего нам не нужно.
-Переходим на вкладку NAT
-Здесь создаем новое srcnat правило, указав это в поле chain
-Указываем к каким адресам это правило будет применяться, указываем что ко всем. Dst.Address 0.0.0.0/0
-Выбираем протокол tcp (для udp также нужно будет сделать правило, за одной лишь разницей, что в протоколе будет udp)
-Ставим внешний интерфейс
-Выбираем наши пакеты которые роутер пометил маркерами. Поле Packet Mark


-Затем переходим на вкладку Action где указываем уже через какой адрес посылать все пакеты с сервера1.
-можно также указать при необходимости порты, или выставить по умолчанию на все порты, как на рисунке ниже


В итоге вы должны:
-добавить два белых IP на микротике
-сделать два типа маркеров для обоих серверов
-настроить для каждого протокола и каждого сервера правило в NAT, так что у вас должно быть 4 правила. Одно на udp и одно на tcp для каждого сервера.

Если хотите чтобы к вашим серверам можно было обращаться извне используя белые IP-адреса в интернете и при этом чтобы у них оставалась внутренняя адресация необходимо сделать проброс портов на эти сервера.

Комментариев нет:

Отправить комментарий