Проброс или переадресация портов это технология, позволяющая получать доступ к устройствам в локальной сети извне. Переадресацией портов занимается маршрутизатор, в нашем случае MikroTik. Соответствующая опция становится возможной за счет технологий NAT.
Если у вас есть сервер (например, веб-сервер, игровой сервер, FTP, RDP, SSH), проброс портов позволяет открыть к нему доступ из Интернета.
Для примера настроим проброс SMTP порта (TCP 25) на локальный почтовый сервер. Работаем на MikroTik hAP AC 2:
Wi-Fi маршрутизатор MikroTik hAP AC 2 RBD52G-5HACD2HND-TC
Правилами NAT можно управлять в IP → Firewall → NAT.
Как видно, сейчас существует только одно правило по умолчанию. Создаём новое: +New.
- Enabled — правило будет сразу включено после создания
- Comment — название правила, укажем любое, к примеру, SMTP
General
- Chain — dstnat, правило Destination Nat
- Protocol — tcp, протокол
- Dst. Port — 25, порт, на который обращается входящее соединение
- In. Interface — ether1, по умолчанию в первом порту приходит WAN кабель провайдера, мы указываем порт, на который приходят соединения из Интернет
Action
- Action — dst-nat, выполняем переадресацию Destination Nat
- To Address — 192.168.1.11, IP адрес сервера в локальной сети, на который нужно перенаправить трафик
- To Ports — 25, на какой порт перенаправить. Если порт, на который обращается входящее соединение, совпадает с портом, на который нужно перенаправить трафик, то это поле можно не указывать.
Сохраняем новое правило.
Таким образом создаём все нужные нам переадресации портов. Добавил ниже остальные порты как отдельные правила для наглядности.
В этом случае переадресация для всех портов выполняется на один и тот же локальный сервер, так что порты можно было указать через запятую в одном общем правиле.
Списки адресов
При создании правил NAT могут пригодиться ограничения. Если мы хотим разрешить доступ только определённому IP адресу, то можем указать его в:
- General - Src. Address
Таким же образом можно указать разрещённый IP адрес назначения:
- General - Dst. Address
Если дело не ограничивается одним адресом, то можно воспользоваться списками адресов:
- General - Src. Address List
- General - Dst. Address List
Здесь мы придумываем и пишем какое-то название списка, например, own_ext_ip.
Переходим на вкладку Address Lists и добавляем IP адреса списка, указав им придуманное нами название списка.
