Mikrotik проброс rdp: MikroTik Проброс портов RDP и 80
Проброс портов в Mikrotik
В этой статье мы рассмотрим как пробросить порт на маршрутизаторах Mikrotik для RDP. Инструкция актуальна для всех устройств Mikrotik Router OS.
Любую схему можно представить в таком виде:
Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.
Клиент отправляет запрос на внешний ip адрес клиента, роутер обрабатывает его и если создано правило отправляет его уже дальше к компьютеру в локальной сети.
Рассмотрим подробнее, как создать это правило в Mikrotik Router OS.
Все операции будем выполнять через WinBox.
Подключаемся к роутеру, заходим в IP->Firewall->NAT и нажимаем + что бы создать новое правило.
Тут нужно заполнить всего несколько опций.
Первое поле — это Chain (Цепочка). Тут может быть всего два варианта — srcnat и dstnat. Цепочка — это направление потока данных. Srcnat — из внутренней сети во внешнюю, dstnat — из внешней во внутреннюю. В нашем случие нам нужен dstnat.
Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Если вы планируете подключаться с определенного IP адреса, тогда вносим его в Src. Address, если хотите подключаться с любого ip адреса тогда оставляем поле пустым. В адрес назначения — всегда внешний адрес роутера, так что это поле можно не заполнять.
Далее следует пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для rdp выбираем tcp.
Src. Port (исходящий порт) — это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это не нужно, оставляем поле пустым.
Dst. Port (порт назначения) — а это как раз тот порт, на который мы хотим принимать соединение. Для RDP это 3389.
Затем идёт пункт Any Port (любой порт) — так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
Теперь очень важный момент:
In. interface (входящий интерфейс) — это тот интерфейс который смотрит наружу.
Out. interface (исходящий интерфейс) — интерфейс, к которому подключен компьютер, на который мы делаем переадресацию, заполнять это поле нет необходимости.
Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться.
В итоге у насполучается такая картина:
В целях безопасности мы рекомендуем вам изменить стандартный порт rdp 3389 на любой другой. В этом случаи для подключения к удаленному компьютеру после ip адреса нужно поставить : и ввести адрес порта, например 192.168.0.100:5971
Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры расширенной настройки, нам они не нужны, идём сразу в Action (Действие)
В поле Action нужно выбрать конкретное действие, которое будет выполняться с подключением на указанный ранее порт:
accept — Просто принимает пакет;
add-dst-to-address-list — Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list — Аналогично предыдущему, но для исходного адреса;
dst-nat — Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump — Позволяет применить для данных правила из другой цепочки.
log — Добавляет информацию о пакете в лог роутера;
masquerade — Подмена внутреннего адреса компьютера из локальной сети на адрес роутера;
netmap — Отображение одного адреса на другой. Фактически, развитие dst-nat;
passthrough — Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect — Перенаправляет данные на другой порт в пределах роутера;
return — Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same — применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;
src-nat — Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю.
Для наших целей подходит dst-nat и netmap, остановимся на пером варианте.
Далее нажимаем Apply что бы сохранить правило.
Так же имеет смысл указать коментарий для этого правила, что бы в будующем не вспомнитать что это.
Нажимаем кнопку Comment, назовем это правило rdp и нажимаем ОК.
Все, на этом правило создано.
Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.
Проброс портов в MikroTik — Делюсь опытом
Нередко у нас возникает необходимость дать доступ снаружи к компьютерам, которые находятся за NAT-ом в нашей локальной сети. Будь то веб-сервер или персоналка, к которой надо дать доступ снаружи по протоколу RDP, чтобы сотрудник мог работать из дома используя «Удаленный рабочий стол». Сегодня расскажу, как пробросить порты на роутере MikroTik используя dst-nat.
В статье, посвященной настройке DHCP-сервера, я раздал IP-адреса двум компьютерам: 192.168.33.2 и 192.168.33.129. Пусть первый будет веб-сервером, а второй будет персоналкой. Соответственно, для веб-сервера нам нужно пробросить, как минимум 80-ый порт, а для персоналки — порты для удовлетворения хотелок пользователя. А пользователь хочет удаленный рабочий стол. Пусть нашим внешним ip будет 1.1.1.1 на интерфейсе inetTest.
Проброс портов в winbox
Открываем IP — Firewall — NAT, жмем «+»
Добавление правила NAT
Chain — цепочка, в которой будет обрабатываться правило. Выбираем dstnat.
Src. Address — адрес источника. Если мы хотим указать конкретный адрес, то забиваем сюда. Но т.к. веб-сервер должен быть доступен всем, то я это поле не заполняю.
Dst. Address — адрес, к которому будут обращаться клиенты извне. В данном примере это адрес 1.1.1.1. Можно этот адрес не указывать, но в этом случае нужно будет обязательно указать In. Interface
Protocol — выбираем TCP.
Dst. port — порт, к которому будут обращаться клиенты извне. Для веб-сервера по-умолчанию это порт 80.
In. Interface — интерфейс, который смотрит наружу. В нашем случае это интерфейс inetTest.
Остальные параметры нам в этой статье неинтересны, поэтому переходим на вкладку Action.
Добавление правила вкладка Action
Action — выбираем dst-nat.
To Addresses — пишем IP-адрес нашего веб-сервера в локальной сети.
To Ports — порт 80.
Этого, собственно, достаточно. Но есть один очень важный момент. У роутера MikroTik есть встроенный веб-сервер, который висит на том же дефолтном порту 80. Надо его оттуда убрать. Заходим в IP — Services и меняем там порт службы www с 80-го, на произвольный.
Процесс создания правила проброса порта RDP для персоналки аналогичен вышеописанному.
Реклама:
Хотел бы только сказать, что такой простой проброс RDP чертовски небезопасен и использовать его в таком виде крайне не рекомендую. Если известен удаленный IP-адрес, с которого будет производиться подключение, обязательно его указывайте в поле Src. Address. Это как минимум. А лучше вообще используйте VPN (легко поднимается на MikroTik) вместо банального проброса порта. Если уж сильно нужен именно проброс порта и неизвестен адрес источника, то есть еще такая штука, port knocking называется. Так же можно реализовать на MikroTik, но это материал для отдельной заметки — читайте статью Port knocking MikroTik .
Здесь проброс RDP используется только в качестве примера проброса порта, а не как призыв открывать небезопасный доступ к своим рабочим столам всему интернету.
Проброс портов — скрипты
В скриптах я добавил еще одно правило для протокола HTTPS на веб-сервер, а для проброса RDP использовал нестандартный порт.
#
#
# WEB Server 192.168.33.2 HTTP port 80
/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=80 in-interface=inetTest protocol=tcp to-addresses=192.168.33.2 to-ports=80
# WEB Server 192.168.33.2 HTTPS port 443
add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=443 in-interface=inetTest protocol=tcp to-addresses=192.168.33.2 to-ports=443
# RDP PC 192.168.33.129
add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=4565 in-interface=inetTest protocol=tcp to-addresses=192.168.33.129 to-ports=3389
|
# # # WEB Server 192.168.33.2 HTTP port 80 /ip firewall nat add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=80 in-interface=inetTest protocol=tcp to-addresses=192.168.33.2 to-ports=80 # WEB Server 192.168.33.2 HTTPS port 443 add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=443 in-interface=inetTest protocol=tcp to-addresses=192.168.33.2 to-ports=443 # RDP PC 192.168.33.129 add action=dst-nat chain=dstnat comment=test dst-address=1.1.1.1 dst-port=4565 in-interface=inetTest protocol=tcp to-addresses=192.168.33.129 to-ports=3389 |
Для RDP dst-port указан 4565, который MikroTik перенаправит на персоналку 192.168.33.129 на стандартный порт RDP — 3389. Соответственно, удаленному пользователю при подключению к удаленному рабочему столу надо будет так же указать и порт: 1.1.1.1:4565
Естественно, не забудьте разрешить в файерволе входящие соединения на внешний интерфейс (у нас inetTest) на порты, которые мы собираемся пробросить (в этом примере 80, 443, 4565).
В этой статье я использовал самый простой пример, но думаю, для базового уровня этого достаточно.
До новых встреч!
Реклама:
Читайте также
Как в Микротик пробросить порт
Что за технология
У проброса портов есть масса названий, от чего может
возникнуть путаница. Кто-то привык называть это форвардингом, кто-то –
перенаправлением порта. В англоязычной литературе называют коротко и ёмко – Dst. NAT. Всё это означает одно и то же –
разновидность трансляции сетевых адресов, при которых происходит подмена адреса
назначения. Можно представить это как путь «снаружи-внутрь», в отличие от
Маскарадинга (Src.NAT) – «изнутри-наружу».
Для чего это нужно
Когда сегмент локальной сети спрятан за NAT, обычно нет способов инициировать
соединение с «серыми» адресами находясь со стороны Интернета. А это бывает
необходимо, например, для организации удалённого доступа на какой-нибудь сервер
в DMZ. Или, например,
на видеорегистратор для удалённого просмотра изображений. Если возникла такая
задача и в качестве маршрутизатора выступает Микротик, будем делать проброс
нужных портов.
Как настроить
Шаг 0. Подготовительный
На этом шаге определяемся, какие сервисы на каких сетевых
узлах нам необходимо «опубликовать». Для RDP-доступа на сервер 192.168.1.10, например, нужно публиковать
192.168.1.10:3389 (если порт по умолчанию не менялся). Для доступа на
видеорегистратор, может публиковаться, например, 192.168.1.201:8080.
Шаг 1. Переходим в настройки Mikrotik
(покажу на примере winbox). Открываем раздел «IP» – «Firewall» на вкладку «NAT»
Шаг 2. Создаём правило
Нажимаем «+» в этом окне и указываем примерно следующее:
- Chain (цепочка): dstnat
- Protocol (протокол): tcp или udp
- Dst.Port (порт назначения): порт внешний
- In. Interface (входящий интерфейс): указывается сторона провайдера
Вкладка «Action» — действия:
- Action (действие): В качестве действия выбираем «dst-nat» — подмена адреса назначения
- Log (журналирование): по желанию.
- To Addresses: адрес хоста, куда будет перенаправлен входящий пакет
- To Ports: номер порта хоста, куда будет перенаправлен пакет.
Шаг 3: Правило должно быть раньше маскарадинга
Думаю, шаг не обязательный, но вот какое дело — Микротик обрабатывает правила по порядку. Теоретически есть шанс того, что в dst-nat пакет не залетит. Учитывая, что это более «узкое» правило, эффективнее его поставить первым.
Проброс портов на Mikrotik RB201 1UiAS-RM
Сейчас разберем как пробросить порт на оборудовании Mikrotik RB201 1UiAS-RM. А в частности рассмотрим на примере если нужен доступ по RDP к рабочей станции из вне, т.е. используя не VPN подключение, а просто путем подключения к внешнему IP-адресу вашего интернета на заданный порт.
Запускаем Winbox и подключаемся к роутеру. Переходим IP — Firewall во вкладку Filter Rules. Создадим правило разрешающее принимать запросы из вне на указанные порты. Нажимаем кнопку «+«.
Вкладка General
| поле Chain — указываем input поле Protocol — указываем 6 (tcp) поле Dst. Port — указываем 3389 |
Вкладка Action
| поле Action — указываем accept |
Жмем ОК
Разрешающее правило на прием запросов на порт 3389 (RDP) создали, теперь перейдем к созданию правила проброски порта.Переходим IP — Firewall во вкладку NAT. Создадим правило разрешающее принимать запросы из вне на указанные порты. Нажимаем кнопку «+«.
Вкладка General
| поле Chain — указываем dstnat поле Dts. Address — указываем внешний IP-адрес поле Protocol — указываем 6 (tcp) поле Dst. Port — указываем произвольный порт (прим. 22233) |
Вкладка Action
| поле Action — указываем dst-nat поле To Addresses — указываем локальный IP-адрес ПК на который нужно подключится по RDP из вне. поле To Ports — указываем на какой порт выполнять проброс (в нашем случае это 3389) |
Жмем ОК
Пробуем подключится по RDP к своему рабочему месту из вне. Указываем внешний адрес и порт на который мы сделали проброс.
Если все сделали правильно, то подключение пройдет успешно.
Понравилась или оказалась полезной статья, поблагодари автора
Опубликовано в :
Mikrotik
Загрузка…
Как настроить доступ (RDP) по внешнему имени из локальной сети (шлюзом выступает MikroTik)?
А я опытом поделиться хотел.
Задачка была, наверное, банальная: надо было сделать проброс портов на Микротике на внутренние ресурсы сети, но так, чтобы на эти внутренние ресурсы сети можно было заходить по интернетовскому доменному имени Микротика как из интернета, так и внутри сети. Обычный проброс портов «в лоб» работает только для обращений из интернета. При обращении внутри локальной сети по внешнему доменному имени получаем обломс. В интернетах нашлось 2 решения: одно — прописать на DNS Микротика «Static DNS» domain.name -> Внутренний_IP_адрес_ресурса, и тогда все обращения по доменному имени внутри сети будут направляться на этот внутренний ресурс. Но это не подходит, когда внутренних ресурсов несколько, а не один, ведь «Static DNS» мы можем написать только для одного ресурса. Второе решение — Hairpin NAT, описанное в Wiki wiki.mikrotik.com/wiki/Hairpin_NAT . Однако с ним тоже проблемы, если внешний IP адрес является динамическим и часто меняется (с доменным именем от dyndns, например). В Hairpin NAT, описанном в Wiki, в правилах NAT необходимо указывать внешний IP, что неприемлемо, когда он часто меняется. Поразмыслив, я придумал следующее «идеальное» решение, объединившее оба способа в один:
/ip dns static
add address=192.168.88.1 name=myname.dyndns.org
/ip firewall nat
add action=masquerade chain=srcnat comment=»defconf: masquerade» out-interface=ether1-gateway (это стандартный маскарадинг, обычно присутствующий в конфигурации по умолчанию)
add action=dst-nat chain=dstnat comment=RDP dst-address-type=local dst-port=3389 protocol=tcp to-addresses=192.168.88.2
add action=masquerade chain=srcnat dst-address=192.168.88.2 dst-port=3389 out-interface=bridge-local protocol=tcp src-address=192.168.88.0/24
(по 2 таких строчки на каждый порт-форвардинг)
Т.е. прописываем в статический DNS сопоставление доменному имени внутреннего IP адреса роутера (а не внутреннего ресурса!). Любой клиент внутри сети будет попадать на роутер по доменному имени.
Прописываем по 2 правила для каждого форвардинга — одно для маппинга, второе для маскарадинга. Таким образом мы избавляемся от необходимости непременно указывать внешний IP адрес в правилах NAT, который у нас часто меняется.
Такой подход проверен и успешно работает в моей сети. Он более универсален, чем описанные ранее, поэтому я решил поделиться опытом, может кому пригодится.
Настройка проброса портов в MikroTik
Если у вас не получилось или вам нужна помощь, специалисты помогут вам: нажмите здесь!
Управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.
Нажимаем плюс или add new и в появившемся окне заполняем несколько полей:
- Chain – направление потока данных. В списке выбора – srcnat, что означает “изнутри наружу”, т. е. из локальной сети во внешний мир, и dstnat – из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
- Src. Address – внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
- Dst. Address – внутренний адрес, на который будет инициироваться подключение
- Protocol – здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
- Src. Port (исходящий порт) – порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно.
- Dst. Port (порт назначения) – проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.
- Any. Port (любой порт) – если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
- In. interface (входящий интерфейс) – здесь указываем интерфейс роутера MikroTik, на котором используется, “слушается” этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, по умолчанию это ether1-gateway. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
- Out. interface (исходящий интерфейс) – интерфейс подключения компьютера, для которого мы делаем проброс портов.
Настройка вкладки Action
В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:
- accept — просто принимает данные;
- add-dst-to-address-list — адрес назначения добавляется в список адресов;
- add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
- dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
- jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat;
- log — просто записывает информацию о данных в лог;
- masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
- netmap — более новая вариация dst-nat;
- passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
- redirect — данные перенаправляются на другой порт этого же роутера;
- return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
- same — редко используемая настройка один и тех же правил для группы адресов;
- src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).
Если у вас не получилось или вам нужна помощь, специалисты помогут вам: нажмите здесь!
This entry was posted in MikroTik. Bookmark the permalink.
Проброс портов в MikroTik — Делюсь опытом
Перед нами возникает необходимость в обращении за NAT-ом в нашей локальной сети. Будь то веб-сервер или персоналка, к которой надо дать доступ по протоколу RDP, чтобы сотрудник мог работать из дома, используя «Удаленный рабочий стол». Сегодня расскажу, как пробросить порты на роутере MikroTik, используя dst-nat.
В статье, посвященной настройке DHCP-сервера, я раздал IP-адреса двум компьютерам: 192.168.33.2 и 192.168.33.129. Пусть первый будет веб-сервером, а второй будет персоналкой. Соответственно, для веб-сервера нам нужно пробросить, как минимум 80-ый порт, а для персоналки — порты для удовлетворения хотелок пользователя. А пользователь хочет удаленный рабочий стол. Пусть наш внешний ip будет 1.1.1.1 на интерфейсе inetTest.
Проброс портов в winbox
Открываем IP — Firewall — NAT, жмем «+»
Добавление правил NAT
Цепочка — цепочка, в которой будет обрабатываться правило.Выбираем dstnat .
Src. Адрес — адрес источника. Если мы хотим указать конкретный адрес, то забиваем сюда. Но т.к. веб-сервер должен быть доступен всем, то я это поле не заполняю.
Dst. Адрес — адрес, к которым будут обращаться клиенты извне. В данном примере это адрес 1.1.1.1 . Можно этот адрес не указывать, но в этом случае нужно будет обязательно указать In. Интерфейс
Протокол — выбираем TCP .
Dst. порт — порт, к которым будут обращаться клиенты извне. Для веб-сервера по-умолчанию это порт 80.
In. Интерфейс — интерфейс, смотрит который наружу. В нашем случае это интерфейс inetTest .
Остальные параметры нам в этой статье неинтересны, поэтому переходим на вкладку Action .
Добавление правил вкладка Action
Action — выбираем dst-nat.
, К адресам — пишем IP-адрес нашего веб-сервера в локальной сети.
К портам — порт 80.
Этого, собственно, достаточно. Но есть один очень важный момент. У роутера MikroTik есть встроенный веб-сервер, который висит на том же дефолтном порту 80. Надо его оттударать. Заходим в IP — Услуги и меняем там порт службы www с 80-го, на произвольный.
Процесс создания правил проброса порта RDP для персоналки аналоген вышеописанному.
Реклама:
Хотел бы только сказать, что такой простой проброс RDP чертовски небезопасен и использовать его в таком виде крайне не рекомендую.Если известен удаленный IP-адрес, с которого будет производиться подключение, обязательно его указывайте в поле Src. Адрес. Это как минимум. А лучше вообще использовать VPN (легко поднимается на MikroTik) вместо банального проброса порта. Если уж сильно нужен именно проброс порта и неизвестен адрес источника, то есть еще такая штука, стук порта называется. Так же можно реализовать на MikroTik, но это материал для отдельной заметки — читайте статью для отдельной заметки MikroTik.
Здесь проброс RDP используется только в качестве примера проброса порта , а не как призыв открывать небезопасный доступ к своим рабочим столам всему интернету.
Проброс портов — скрипты
В скриптах я добавил еще одно правило для протокола HTTPS на веб-сервере, а для проброса RDP использовал нестандартный порт.
#
#
# WEB-сервер 192.168.33.2 HTTP-порт 80
/ IP брандмауэр нат
добавить действие = цепочка dst-nat = dstnat comment = test dst-address = 1.1.1.1 dst-port = 80 in-interface = inetTest protocol = tcp to-addresses = 192.168.33.2 to-ports = 80
# WEB-сервер 192.168.33.2 HTTPS порт 443
добавить действие = цепочка dst-nat = dstnat comment = test dst-address = 1.1.1.1 dst-port = 443 in-interface = inetTest protocol = tcp to-addresses = 192.168.33.2 to-ports = 443
# RDP ПК 192.168.33.129
добавить действие = цепочка dst-nat = dstnat comment = test dst-address = 1.1.1.1 dst-port = 4565 in-interface = inetTest protocol = tcp to-addresses = 192.168.33.129 to-ports = 3389
# # # WEB-сервер 192.168.33.2 HTTP-порт 80 / ip firewall nat add action = dst-nat chain = dstnat comment = test dst-address = 1.1.1.1 dst-port = 80 in-interface = inetTest protocol = tcp to-addresses = 192.168.33.2 to-ports = 80 # WEB-сервер 192.168.33.2 HTTPS-порт 443 add action = dst-nat chain = dstnat comment = test dst-address = 1.1.1.1 dst-port = 443 in-interface = inetTest protocol = tcp to-addresses = 192.168.33.2 to-ports = 443 # RDP PC 192.168.33.129 add action = dst- nat chain = dstnat comment = test dst-address = 1.1.1.1 dst-port = 4565 in-interface = inetTest protocol = tcp to-addresses = 192.168.33.129 to-ports = 3389 |
Для RDP dst-port указан 4565, который MikroTik перенаправит на персонал 192.168.33.129 на стандартный порт RDP — 3389. Соответственно, удаленному пользователю при подключении к удаленному рабочему столу надо будет так же указать и порт: 1.1.1.1:4565
Естественно, не забудьте разрешить файерволе входящие соединения во внешний интерфейс (у нас inetTest ) на порты, которые мы собираемся пробросить (в этом примере 80, 443, 4565).
В этой статье я использовал самый простой пример, но думаю, для базового уровня этого достаточно.
До новых встреч!
Реклама:
Читайте также
.
Защита RDP-сервера с помощью Mikrotik
Простой способ автоматически блокировать «брутфорсеров», пытающихся подобрать пароли к какому-либо из ваших опубликованных через Микротик сервисов.
Идея :
- тем или иным образом отфильтровываем «новое подключение» злоумышленника. Обратите внимание! Если речь идет о DST-NAT (т.е. некий внутренний сервер, входящий порт которого опубликован снаружи), то фильтрация будет в forward-chain.
- Заносим src-IP этого «нового подключения» в временный «список 1 уровня» с таймаутом скажем 30 минут
- Далее делаем еще несколько уровней, куда будем заносить Src-IP из предыдущего уровня. Таким образом, если за время жизни списка некто попытается несклько раз подключиться (типовая ситуация — брутфорс логинов-паролей), то он попадет в списки 1,2,3 и т.д. уровни
- Итоговое правило: из последнего списка занести Src-IP в постоянный бан-лист
Реализация (В качестве примера рассмотрим опубликованный RDP-сервер, TCP-3389, с внутренним IP = 192.168.1.15. Служба опубликована снаружи на нестандартном порту TCP-25000, временные списки — 3 уровня, т.е. по сути дается три попытки на подключение, таймаут 30 мин на список):
- Первым добавляем правило, блокирующее форвард на внутреннем сервере для всех из постоянного банлиста:
add action = drop chain = forward comment = "Drop Bad-IP address (rdp brutforce)" dst-port = 3389 in-interface = протокол ether1-WAN = tcp src-address-list = BAD-IP-auto
- Добавляем правило заносящее IP из списка 3 уровня в постоянный банлист
add action = add-src-to-address-list список-адресов = BAD-IP-auto address-list-timeout = non-static chain = forward dst-адрес = 192.168.1.15 dst-port = 3389 log = yes log-prefix = FW_BAN protocol = tcp src-address-list = rdp_brutforce_level3 tcp-flags = syn
- Добавляем правило заносящее IP из временного списка 2 уровня во временный список 3 уровня
add action = add-src-to-address-list address-list = rdp_brutforce_level3 address-list-timeout = 30m chain = forward dst-address = 192.168.1.15 dst-port = 3389 log = yes log-prefix = FW_Lev3 protocol = tcp src-address-list = rdp_brutforce_level2 tcp-flags = syn
- Добавляем правило заносящее IP из временного списка 1 уровня во временный список 2 уровня
add action = add-src-to-address-list address-list = rdp_brutforce_level2 address-list-timeout = 30m chain = forward dst-address = 192.168.1.15 dst-port = 3389 log = yes log-prefix = FW_Lev2 protocol = tcp src-address-list = rdp_brutforce_level1 tcp-flags = syn
- Добавляем правило заносящее IP во временный список 1 уровня
add action = add-src-to-address-list список-адресов = rdp_brutforce_level1 address-list-timeout = 30m chain = forward dst-address = 192.168.1.15 dst -port = 3389 журнал = да префикс журнала = FW_Lev1 протокол = tcp tcp-flags = syn
ОБРАТИТЕ ВНИМАНИЕ! :
- В данном примере «новое подключение злоумышленника» мы отфильтровываем по параметрам
- цепочка, dst-адрес, dst-порт и ключевой параметр
tcp-flags = syn
.т.е. все новые попытки установить TCP-соединение на эту службу будут попадать под фильтр. - Для других служб — параметры могут быть иными (конкретно про
tcp-flags = syn
) - протестируйте работу правил НЕ СО СВОЕЙ МАШИНЫ. Например в данном примере уровня лучше повысить до 4 или еще больше уровней, т.к. как показал, при новом подключении с ранее не подключенным клиентом стандартным MSTSC проходит аж три уровня SYN-флаг, и если оставить три уровня, то честный пользователь, забывший пароль может неожиданно для себя попасть в бан лист уже со второй попыткой.
- цепочка, dst-адрес, dst-порт и ключевой параметр
- правила идут в обратном порядке. Если расположить их по-порядку, то проходя по цепочке правила брандмауэра IP по очереди попадет во все временные списки и в итоговый банлист, а нам это не нужно. Мы хотим, чтобы именно каждая новая попытка подключения — заносила IP в список следующего уровня.
- помониторьте работу правил и наполнение банлистов несколько дней. В правилах приведенных выше — есть включенный флаг логирования, вы будете видеть в логе Микротик все срабатывания.
Готово. Можно проверять.
.
Проброс портов на Mikrotik RB201 1UiAS-RM
Сейчас разберем как пробросить порт на оборудовании Mikrotik RB201 1UiAS-RM . В частности, рассмотрим пример, если нужен доступ по RDP к рабочей станции из вне, т.е. используя не VPN , путем простого подключения к внешнему IP-адресу вашего интернета на заданный порт.
Запускаем Winbox и подключаемся к роутеру.Переходим IP — Firewall во вкладке Filter Rules . Создадим правило разрешающее запрос из вне на порты. Нажимаем кнопку « + «.
Вкладка Общие
поле Цепочка — указываем ввод поле Протокол — указываем 6 (tcp) поле Dst. Порт — указываем 3389 |
Вкладка Действие
поле Действие — указываем принять |
Жмем ОК
Разрешающее правило на прием запросов на порт 3389 (RDP) создано, теперь перейдем к созданию правила проброски порта.Переходим IP — Firewall во вкладке NAT . Создадим правило разрешающее запрос из вне на порты. Нажимаем кнопку « + «.
Вкладка Общие
поле Цепочка — указываем dstnat поле Dts. Адрес — указываем внешний IP-адрес поле Протокол — указываем 6 (tcp) поле Dst.Порт — указываем произвольный порт (прим. 22233) |
Вкладка Действие
поле Действие — указываем dst-nat поле К адресам — указываем локальный IP-адрес ПК на который нужно подключится по RDP из вне. поле To Ports — указываем на какой порт выполнять проброс (в нашем случае это 3389) |
Жмем ОК
Пробуем подключится по RDP к своему рабочему месту из вне.Указываем внешний адрес и порт на который мы сделали проброс.
Если все сделали правильно, то подключение пройдет успешно.
Понравилась или оказалась полезной статьей, поблагодари автора
Опубликовано в:
Микротик
Загрузка ….
Настройка проброса портов в MikroTik
Если у вас неилось или вам нужна помощь, специалисты получат вам: нажмите здесь!
Управление настройкой проброса портов находится в меню IP => Firewall => NAT.
Нажимаем плюс или добавить новый и в появившемся окне заполнем несколько полей:
- Цепочка — направление потока данных. В списке выбора — srcnat , что означает «изнутри наружу», т.е. из локальной сети во внешний мир, и dstnat — из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
- Src. Адрес — внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
- Dst. Адрес — внутренний адрес, на который будет запускроваться подключение
- Протокол — здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
- Src. Порт (исходящий порт) — порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно.
- Dst. Порт (порт назначения) — проставляем номер внешнего порта роутера, который будет приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.
- Любая. Порт (любой порт) — если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет местным и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
- дюйм. interface (входящий интерфейс) — здесь указываем интерфейс роутера MikroTik, на котором используется, «слушается» этот порт. В нашем случае, так как мы проброс для получения данных извне, это интерфейс, через который роутер подключен к Интернету, по умолчанию это ether1-gateway . Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
- Вых. interface ( исходящий интерфейс) — интерфейс подключения компьютера, для которого мы делаем проброс портов.
Настройка вкладки Action
В поле Действие прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:
- принять — просто принимает данные;
- add-dst-to-address-list — адрес назначения добавляется в список адресов;
- add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
- dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
- jump — разрешает правила применения из другого канала, например, при установленном в поле Цепь значения srcnat — применить правило для dstnat ;
- журнал — просто записывает информацию о данных в лог;
- маскарад — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из сети на адрес маршрутизатора;
- netmap — более новая вариация dst-nat ;
- passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему.Используется для статистики;
- редирект — данные перенаправляются на другой порт этого же роутера;
- return — если в этот канал мы попали по правиламу jump, то это возвращает нас обратно;
- то же — редко используемая настройка один и тех же правил для группы адресов;
- src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).
Если у вас не получилось или вам нужна помощь, специалисты вам: нажмите здесь!
Эта запись была размещена в MikroTik.Добавьте в закладки постоянную ссылку.
.