hw:mikrotik:hairpin_nat
Hairpin NAT (публикация сервиса)
Ниже рассмотрен пример публикации веб-сервера. Данная задача не совсем тривиальна на Mikrotik (если сравнивать с другими домашними роутерами или даже устройством с DD-WRT). Визуализация задачи на картинке ниже.
Информация
- Если мы просто пробросим порты с внешнего интерфейса на внутренний, у нас будет работать публикация извне, однако опубликованные таким образом ресурсы не будут доступны внутри сети
- Поэтому нужно добавить ещё одно правило натирования, которое будет «маскировать» наши запросы внутри сети
/ip firewall nat # пробрасываем порты add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2 # следующее правило опционально и скорее всего уже есть в NAT-правилах (обычно автоматически добавляется при настройке) add chain=srcnat out-interface=WAN action=masquerade # а это правило как раз позволяет ходить на опубликованные ресурсы находясь внутри сети add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.2 protocol=tcp dst-port=80 out-interface=LAN action=masquerade
Не стал добавлять примеры из GUI, так как всё понятно и логично в листинге выше (при желании сделать это через WinBox действия аналогичные).
hw/mikrotik/hairpin_nat.txt · Последнее изменение: 09.01.2021 17:47 — philip