Komputery » Konfigurowanie Mikrotika, upuszczanie portów rdp i ftp. Jak zrobić kroplę portów w Mikrotiku?

Konfigurowanie Mikrotika, upuszczanie portów rdp i ftp. Jak zrobić kroplę portów w Mikrotiku?

Komputery

W przypadku routerów marki Mikrotik konieczne jest wykonywanie wielu operacji portowania. Jednak dla administratorów sieci i nieprzygotowanych użytkowników, rozwiązanie tego problemu jest często dość trudnym zadaniem. Poniżej znajduje się krótka instrukcja, po której można łatwo wykonywać dowolne operacje tego typu, jednak będziesz musiał zrobić trochę bałaganu.

Konfiguracja Mikrotika z lejem portowym. Dlaczego jest to konieczne?

Przed przystąpieniem do konfiguracji routera warto chwilę zastanowić się nad zasadami budzenia portów i tego, do czego to wszystko służy.


Domyślna konfiguracja Mikrotik jest taka, że ​​komputery znajdujące się w sieci wewnętrznej lub zewnętrznej nie widzą adresów IP przypisanych do innych terminali. Zasada tak zwanej maskarady jest tutaj używana, gdy router sam zastępuje adres komputera, gdy otrzymuje żądanie, które przypisuje do swojego zewnętrznego adresu IP, chociaż otwiera wymagany port. Okazuje się, że wszystkie urządzenia podłączone do sieci, widzą tylko router, a pomiędzy nimi pozostają niewidoczne.
W związku z tym, w niektórych sytuacjach, w przypadku urządzeń Mikrotik, potrzeba obniżenia portu staje się pilna. Najczęstsze przypadki obejmują:
  • organizację zdalnego dostępu do urządzeń w sieci w oparciu o technologie RDP;
  • tworzenie gry lub serwera FTP;
  • organizacja sieci peeringowych i dostosowanie prawidłowego funkcjonowaniaklienci torrent;
  • dostęp do kamer i systemów nadzoru wideo z zewnątrz przez Internet.

    • Dostęp do interfejsu internetowego

    Zacznijmy więc. W przypadku routerów Mikrotik spadek portu (RDP, FTP itp.) Rozpoczyna się od logowania do systemu zarządzania urządzeniami, zwanego interfejsem WWW. A jeśli dla większości znanych routerów standardowe adresy używają kombinacji 192168 z końcówkami lub 0,1 lub 1,1, to ta opcja nie przechodzi.


    Aby uzyskać dostęp do przeglądarki internetowej (najlepszy sposób korzystania ze standardowego programu Internet Explorer), ciąg 19216888.1 jest wprowadzany w pasku adresu, a administrator jest wprowadzany w polu logowania, a ciąg hasła z reguły pozostaje pusty. Jeśli dostęp z jakiegoś powodu jest zablokowany (router nie akceptuje logowania), należy zresetować ustawienia, klikając odpowiedni przycisk lub odłączając urządzenie od zasilania przez 10-15 sekund.

    Ustawienia ogólne i ustawienia

    Zostaje wykonane logowanie do interfejsu. Najważniejszą rzeczą jest to, że spadek portu Mikrotik opiera się na stworzeniu tak zwanych reguł wykluczania dla funkcji Masquerade (ta sama maskarada z zastąpieniem wspomnianych adresów IP). W ogólnych ustawieniach sekcji Firewall /NAT widać, że jedna reguła już istnieje. Jest ustawiony jako jeden z ustawień fabrycznych. Ogólnie rzecz biorąc, w przypadku spadku portów należy dodać nową regułę, klikając przycisk plusa, po czym należy wypełnić kilka podstawowych pól ustawień.

    Przykłady używanych portów

    Rozważmy terazkilka możliwych przykładów użycia portu. W zależności od tego, jaki dokładnie będzie używany każdy otwarty port, wartości mogą być następujące:
  • Torrent: tcp /51413;
  • SSH: tcp /22;
  • Serwer SQL: tcp /1433;
  • WEB Server: tcp /80;
  • telnet: tcp /23;
  • PROW: tcp /3389;
  • snmp: udp /161 itd.
    • Wartości te zostaną ponownie wykorzystane do przewrócenia każdego takiego portu.

    Tworzenie reguł i wybór działań

    Teraz tworzymy nową regułę i przechodzimy do wypełniania pól ustawień. Tutaj musisz być bardzo ostrożny i pochodzić z dokładnie tego, czego potrzebujesz, aby uzyskać dostęp (od środka na zewnątrz lub odwrotnie).
    Ustawienia powinny być następujące:
  • Łańcuch: srcnat stosowane do uzyskania dostępu do sieci LAN, że tak powiem, do świata zewnętrznego, dstnat - aby uzyskać dostęp do sieci lokalnej z zewnątrz (dla połączeń przychodzących, wybierz drugą opcję);
  • adres pola Src. i dst pozostaw puste;
  • w protokole wybrać albo TCP, UDP (zwykle wartość 6 (TCP),
    • .
  • Src port nie wypełniać, że z portu dla zewnętrznych połączeń nie są ważne,
    • ,
  • . dst port (port przeznaczenia): wskazuje port dla powyższych przykładów
  • Każdy port może być pusta, ale podając numer portu ONE (np 51413 torrentów, 3389 dla RDP i tak dalej d.). stosowane jako wejścia, a na wyjściu
  • złącza. pasuje do portu routera (zwykle ether1 Gateway),
  • Spośród interfejs. wskazuje port wyjściowy (można zastrzeżenia . Pominięto)
    • Uwaga: W przypadku portów przesyłowych do przyłączenia zewnętrznego pilota (RDP), w dziedzinieSrc Adres określa adres IP zdalnego komputera, z którego ma uzyskać dostęp. Standardowy port dla połączenia RDP to 3389. Jednak większość specjalistów nie zaleca takich rzeczy, ponieważ jest o wiele bezpieczniejsze i łatwiejsze konfigurowanie routera VPN.
    Następnie, w routerze Mikrotik, rzucanie portem obejmuje wybór akcji (Action). Właściwie wystarczy podać tylko trzy parametry:
  • Akcja: akceptuj (prosty odbiór), ale dla dostępu zewnętrznego określa dst-nat (możesz określić bardziej zaawansowane ustawienia mapy);
  • Adresy Do: Należy wprowadzić wewnętrzny adres maszyny, do której ma nastąpić przekierowanie;
  • Porty: ogólnie zadane wartości 80 ale dla prawidłowego funkcjonowania tego samego potoku wskazany 51413.

    • Ustawianie Mikrotik: porty FTP cast

    Na koniec kilka słów o tym, co trzeba ustawienia dla ftp Przede wszystkim musisz skonfigurować sam serwer FTP, na przykład na podstawie FileZilla, ale jest to osobna rozmowa. W tym przypadku bardziej interesuje nas spadek portów FTP Mikrotik niż konfiguracja części serwerowej.
    Uważa się, że serwer FTP, mimo że wymaga określonego zakresu portów, działa jednak doskonale w porcie sterującym 21. Musi być aktywowany. Tak jak w ogólnym przypadku, najpierw musisz utworzyć nową regułę, tylko w tej sytuacji będą dwie: dla portu kontrolnego i dla całego zakresu portów.
    Dla portu 21 parametry powinny wyglądać następująco:
  • Łańcuch: dst-nat;
    • ​​
  • Dst. Adres: zewnętrzny adres routera (na przykład 111.28);
  • Protokół: 6 (tcp);
  • Dst. Port: 21
  • In. Interfejs: ether1-gateway
    • Na zakładce Akcja ustawiono następujące wartości:
  • Działanie: dst-nat;
  • Dst. Adres: adres terminala, na którym zainstalowany jest serwer FTP;
  • To Porty: 21.
    • Dla zakresu (na przykład 50000-50050) wszystkie opcje są podobne, z wyjątkiem dwóch parametrów:
  • w ustawieniach ogólnych dla Dst. Port określa cały zakres portów;
  • Wybierając akcję, ten sam zakres mieści się w polu Do portów.
    • Należy pamiętać, że konfigurując przepustkę FTP, należy postępować zgodnie z dokumentacją routera i stwierdza się, że nie zaleca się stosowania początkowego progu dla portów poniżej 1024. Ten punkt również należy wziąć pod uwagę. Zasadniczo nadal można korzystać z funkcji Hairpin NAT Mikrotik, ale jest ona potrzebna tylko wtedy, gdy trzeba się zalogować w zewnętrznej sieci lokalnej IP. Zasadniczo nie jest konieczne jego aktywowanie.

    Powiązane publikacje