Сломал голову. Есть пассивный фтп-сервер (proftpd). Есть RB1100AHx4. На RB настроен dst-nat, несколько VLAN, в одной из которых находится фтп-сервер. Подключение извне осуществляется штатно, подключение из той же подсети, что и фтп-сервер - тоже осуществляется без проблем. Не могу подключиться из соседних подсетей, причём подключение к SSH целевого сервера осуществляется нормально. Где-то я что-то прощёлкиваю. Есть ощущение, что данная ситуация - частный случай hairpin-nat, с правилами нат игрался всё мимо. Прошу пнуть в верном направлении. Spoiler: /ip firewall filter> print @AHx4-Master] /ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; ALLOW ALL ESTABLISHED, RELATED chain=input action=accept connection-state=established,related log=no log-prefix="" 1 chain=forward action=accept connection-state=established,related log=no log-prefix="" 2 ;;; Drop all INVALID chain=input action=drop connection-state=invalid log=no log-prefix="" 3 chain=forward action=drop connection-state=invalid log=no log-prefix="" 4 chain=input action=accept in-interface=ether4-ADM log=no log-prefix="" 5 chain=input action=accept in-interface=VLAN10_ADM log=no log-prefix="" 6 chain=forward action=accept in-interface=VLAN10_ADM log=no log-prefix="" 7 chain=input action=accept in-interface=ether5-OLD_LAN log=no log-prefix="" 8 chain=forward action=accept in-interface=ether5-OLD_LAN log=no log-prefix="" 9 chain=input action=accept dst-address=10.10.20.0/24 log=no log-prefix="" 10 chain=forward action=accept dst-address=10.10.20.0/24 log=no log-prefix="" 11 ;;; Drop IN echo request chain=input action=drop protocol=icmp src-address-list=!Lan in-interface-list=ethWAN icmp-options=8:0 log=no log-prefix="" 12 ;;; Trap for TCP traffic chain=input action=add-src-to-address-list connection-nat-state=!dstnat protocol=tcp src-address-list=!Lan address-list=TrapAddress address-list-timeout=2w in-interface-list=ethWAN dst-port=5060,5061,4569,3389,8291,22,23,389,445,53 log=no log-prefix="" 13 ;;; Trap for UDP traffic chain=input action=add-src-to-address-list connection-nat-state=!dstnat protocol=udp src-address-list=!Lan address-list=TrapAddress address-list-timeout=2w in-interface-list=ethWAN dst-port=5060,4569,389,53,161 log=no log-prefix="" 14 ;;; Trap for port scanning chain=input action=add-src-to-address-list protocol=tcp psd=10,10s,3,1 src-address-list=!Lan address-list=TrapAddress address-list-timeout=2w in-interface-list=ethWAN log=no log-prefix="" 15 ;;; DoS atack detected from single IP chain=forward action=add-src-to-address-list connection-nat-state=dstnat connection-limit=20,32 address-list=DoS_Atack_Address address-list-timeout=1d in-interface-list=ethWAN log=no log-prefix="" 16 ;;; DoS atack detected from 24 subnet chain=forward action=add-src-to-address-list connection-nat-state=dstnat connection-limit=100,24 address-list=DoS_Atack_Address address-list-timeout=1d in-interface-list=ethWAN log=no log-prefix="" 17 ;;; Allow DNS from LAN chain=input action=accept protocol=udp src-address-list=Lan in-interface-list=ethLAN dst-port=53 log=no log-prefix="" 18 ;;; Allow WINBOX from LAN chain=input action=accept protocol=tcp in-interface-list=ethLAN dst-port=8291 log=no log-prefix="" 19 ;;; Allow NTP from LAN chain=input action=accept protocol=udp in-interface-list=ethLAN dst-port=123 log=no log-prefix="" 20 chain=forward action=accept in-interface=VLAN100_SRV log=no log-prefix="" 21 ;;; DROP ALL REQUEST chain=input action=drop log=no log-prefix="" 22 chain=forward action=drop log=no log-prefix="" Spoiler: /ip firewall nat> print @AHx4-Master] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=dstnat action=dst-nat to-addresses=10.10.20.10 to-ports=20-21 protocol=tcp dst-address=2.1.2.2 dst-port=20-21 log=yes log-prefix="FTP" 1 chain=dstnat action=dst-nat to-addresses=10.10.20.10 to-ports=49152-65534 protocol=tcp dst-address=2.1.2.2 dst-port=49152-65534 log=yes log-prefix="FTP" 2 ;;; Masquerade for LAN to ISP chain=srcnat action=masquerade out-interface-list=ethWAN log=no log-prefix="" @AHx4-Master] /ip firewall nat>
намудрил.. всё разрулилось маршрутами (но тотал всё равно через зад робит - соединяется, но не отображает список каталогов, проводник - всё норм отрабатывает)
NAT-хелпер выключен. Сервер за нат настроен как автономный (или что имеется ввиду?). в принципе после настройки hairpin nat, добавления разрешающих правил форвард - всё стало работать нормально(или мне так кажется).
