Philip Wiki

Персональный wiki-сайт

Инструменты пользователя

Инструменты сайта


hw:mikrotik:hairpin_nat

Hairpin NAT (публикация сервиса)

Ниже рассмотрен пример публикации веб-сервера. Данная задача не совсем тривиальна на Mikrotik (если сравнивать с другими домашними роутерами или даже устройством с DD-WRT). Визуализация задачи на картинке ниже.

Информация

  • Если мы просто пробросим порты с внешнего интерфейса на внутренний, у нас будет работать публикация извне, однако опубликованные таким образом ресурсы не будут доступны внутри сети
  • Поэтому нужно добавить ещё одно правило натирования, которое будет «маскировать» наши запросы внутри сети
/ip firewall nat
# пробрасываем порты
add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2
# следующее правило опционально и скорее всего уже есть в NAT-правилах (обычно автоматически добавляется при настройке)
add chain=srcnat out-interface=WAN action=masquerade
# а это правило как раз позволяет ходить на опубликованные ресурсы находясь внутри сети
add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.2 protocol=tcp dst-port=80 out-interface=LAN action=masquerade

Не стал добавлять примеры из GUI, так как всё понятно и логично в листинге выше (при желании сделать это через WinBox действия аналогичные).

Источник

hw/mikrotik/hairpin_nat.txt · Последнее изменение: 09.01.2021 17:47 — philip