1

Я хочу перенаправить HTTP-трафик с 1.1.66.166:80 на LAN-ip 10.13.37.10:80 на моем маршрутизаторе под управлением RouterOS 6.40

Конфигурация:

/ip address print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                                                                                          
 0   10.13.37.62/26     10.13.37.0      ether2                                                                                                                                                                                                             
 1   1.1.66.166/27      1.1.66.160      ether1 

/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=dstnat action=dst-nat to-addresses=10.13.37.10 protocol=tcp dst-address=1.1.66.166 dst-port=80 log=yes log-prefix="" 

 1    chain=srcnat action=masquerade out-interface=ether1 log=no

Но никакой трафик не достигает внутреннего хоста. Я что-то здесь упускаю?

Я проверил, что могу достигнуть 10.13.37.10:80 от маршрутизатора.

Я получаю запись, что правило было запущено:

firewall,info dstnat: in:ether1 out:(none), src-mac xx:xx:d0:xx:3c:00, proto TCP (SYN), xx.xx.174.107:22880->1.1.66.166:80, len 60 

1 ответ1

0

Надеюсь, это только часть правил вашего брандмауэра :) Вы должны фильтровать все входящие, кроме установленных и связанных!

Поскольку forwardig порта является FORWARD, может быть, мне следует разрешить пересылку входящих пакетов на порт 80 10.3.37.10 tcp?

chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=80 log=yes log-prefix="---FORWARD-TO-80--- "

Это не представляет угрозы для безопасности, потому что вы разрешаете прямое входящее соединение для 80/tcp. Конечный пункт назначения, которым вы управляете с помощью правила dstnat.

Обратите внимание, вы должны были установить и связать eabled:

chain=forward action=accept connection-state=established
chain=forward action=accept connection-state=related

потому что ваш веб-сервер в локальной сети ответит, и его ответы должны быть разрешены для доступа к удаленному клиенту.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .