Добрый день, появилась задача, разрешить подключение к компьютеру из интернета через RDP, почитал разные мануалы все пишут что нужно добавить правило в Firewall/NAT General Chain: dstnat Protool: tcp Dst. port: как я понял это порт по которому будет цепляться из вне In. Interface: ether1-gataway Action Action: dst-nat To Addresses: локальный ip компа к которому нужно подключаться To Ports: порт rdp Firewall/Filter Rule General Chain: input Protocol: tcp Scr. Port: порт rdp Action: Action: accept Добавил правила, а он не подключается, можете подсказать, что я делаю не так?
Работает но очень странно, из внутреней сети не дает подключиться к rdp, а дома подключился без проблем. Что может быть?
Отличные статьи по NAT, спасибо большое. Прошу прощения за некропостинг, но наткнулся случайно и возник вопрос: У ТС создано 2 правила для этого... Так вот необходимо ли 2 правило для цепочки input, чтобы разрешить rdp? Или можно без него? Я посмотрел packet flow и не могу сказать однозначно... как микротик определяет цепочку, это input или forward В случае если он сначала при обращении на его "Dst. port: как я понял это порт по которому будет цепляться из вне" (цитата топик стартера) допусти это будет порт 50100 воспринимает это как подключение к себе, потом смотрит, что у него есть правило nat для этого порта, а после "роутинг дисижен" он попадает в цепочку forward, То да, если не создать правило на input для rpd, подключение будет отброшено. Во втором случае роутер получает пакет для 50100, сразу понимает, что у него есть правило в nat для этого порта, и определяет это в цепочку forward, тогда, как мне кажется правило на input не требуется, однако я могу не знать ещё каких-то особенностей. Подскажите, пожалуйста 1. требуется ли правило на input в этом случае? 2. Как роутер принимает решение относительно input/forward в разных ситуациях (когда нет правила для nat и когда есть, например)?
Расширил немножко свое понимание относительно предыдущего сообщения. Учитывая, что dst-nat находиться в prerouting, создавая правило в цепочке dst-nat (пробрасывая порт, например), мы меняем решение на блоке "router decision" с "input" на "forward" (Ведь роутер в поле "dst address" вместо своего адреса, что привело бы пакет в "input", меняет на адрес указанный в правиле, обычно это внутренний адрес за nat'ом, что приводит этот пакет в цепочку "forward" Соответственно правило на "input" топик стартера не нужно? Нужно скорее правило на "forward", если есть другие правила на drop "forward"? Или есть ещё причины по которым такое правило нужно? Нужна помощь более опытного человека, потому призвал Вас.
Именно. Когда пакет приходит на Routing Decision происходит очень простая вещь 1. Если адрес назначения пакета равен ЛЮБОМУ из адресов роутера то пакет уходит в инпут 2. Если не равен, но есть маршрут то в форвард 3. Если маршрута нет - No route to host.