Настройка Mikrotik, пракінулі партоў rdp і ftp. Як зрабіць пракінулі партоў ў Mikrotik?

Для роутеров брэнда Mikrotik пракінулі партоў патрабуецца вырабляць даволі часта. Аднак і для сеткавых адміністратараў, і для непадрыхтаваных карыстальнікаў рашэнне гэтай праблемы часцяком аказваецца дастаткова цяжкай справай. Далей прыводзіцца кароткая інструкцыя, вынікаючы якой можна без працы ажыццявіць любыя аперацыі гэтага тыпу, праўда, прыйдзецца крыху павазіцца.

Настройка Mikrotik з пракінулі партоў. Навошта гэта трэба?

Перш чым прыступаць да налады маршрутызатара, варта крыху спыніцца на прынцыпах пракінулі партоў і на тым, для чаго ўсё гэта выкарыстоўваецца.

Настройка Mikrotik, устаноўленая па змаўчанні, такая, што кампутары, якія знаходзяцца ва ўнутранай або знешняй сеткі, адрасы IP, прысвоеныя іншым тэрміналаў, не бачаць. Тут выкарыстоўваецца правіла так званага маскараду, калі сам маршрутызатар пры паступленні запыту падмяняе адрас машыны, якой ён прызначаецца уласным знешніх IP, хоць і адкрывае неабходны порт. Атрымліваецца, што ўсе прылады, аб'яднаныя ў сетку, бачаць толькі роутер, а паміж сабой застаюцца нябачнымі.

У сувязі з гэтым у некаторых сітуацыях для прылад Mikrotik пракінулі партоў становіцца крайняй неабходнасцю. Найбольш часта сустракаюцца выпадкамі можна назваць наступныя:

• арганізацыя аддаленага доступу да прылад у сеткі на аснове тэхналогій RDP;
• стварэнне гульнявога альбо FTP-сервера;
• арганізацыя пірынгавых сетак і налада карэктнага функцыянавання торэнт-кліентаў;
• доступ да камер і сістэмам відэаназірання звонку праз інтэрнэт.

Доступ да вэб-інтэрфейсу

Дык вось, пачынаем. Для маршрутызатараў Mikrotik пракінулі партоў (RDP, FTP і г.д.) пачынаецца са ўваходу ў сістэму кіравання прыладай, званую вэб-інтэрфейсам. І калі для большасці вядомых роутеров ў якасці стандартных адрасоў выкарыстоўваюцца спалучэння 192.168 з канчаткамі альбо 0.1, альбо 1.1, тут такі варыянт не праходзіць.

Для доступу ў вэб-браўзэры (лепш за ўсё выкарыстоўваць стандартны Internet Explorer) у адраснай радку прапісваецца камбінацыя 192.168.88.1, у поле лагіна ўводзіцца admin, а радок пароля, як правіла, застаецца пустой. У выпадку, калі доступ па нейкіх прычынах аказваецца заблакаваным (роутер не ўспрымае лагін), спатрэбіцца зрабіць скід налад, націснуўшы на адпаведную кнопку або адключыўшы прыладу ад электрасілкавання на 10-15 секунд.

Агульныя параметры і налады

Уваход у інтэрфейс выраблены. Цяпер самае галоўнае: у Mikrotik пракінулі партоў заснаваны на стварэнні так званых правілаў выключэнні для функцыі Masquerade (той самы маскарад з падменай IP-адрасоў, які згадваўся вышэй).

У агульных наладах раздзела Firewall / NAT можна заўважыць, што адно правіла ўжо ёсць. Яно ўстаноўлена ў якасці адной з завадскіх налад. Пракінулі партоў ў агульным выпадку складаецца ў даданні новага правілы шляхам націску кнопкі са значком плюсу, пасля чаго неабходна будзе запоўніць некалькі асноўных палёў налад.

Прыклады выкарыстоўваюцца партоў

Зараз разгледзім некаторыя магчымыя прыклады выкарыстання партоў. У залежнасці ад таго, для чаго менавіта будзе выкарыстоўвацца кожны адчыняны порт, значэнні могуць быць такімі:

• Torrent: tcp / 51413;
• SSH: tcp / 22;
• SQL Server: tcp / 1433;
• WEB Server: tcp / 80;
• telnet: tcp / 23;
• RDP: tcp / 3389;
• snmp: udp / 161 і г.д.

Гэтыя значэння якраз і будуць выкарыстаныя для пракінулі кожнага такога порта.

Стварэнне правілаў і выбар дзеянняў

Зараз ствараем новае правіла і прыступаем да запаўнення палёў налад. Тут трэба быць вельмі уважлівым і зыходзіць менавіта з таго, які доступ неабходна ажыццявіць (знутры вонкі або наадварот).

Параметры павінны быць такімі:

• Chain: srcnat выкарыстоўваецца для доступу з лакальнай сеткі, так бы мовіць, у навакольны свет, dstnat - для доступу да лакальнай сеткі звонку (выбіраем для ўваходных падлучэнняў другі варыянт);
• поля адрасоў Src. і Dst. пакідаем пустымі;
• ў полі пратаколу выбіраем альбо tcp, альбо udp (звычайна ўсталёўваецца значэнне 6 (tcp);
• Src. Port пакідаем незапоўненым, г.зн. выходны порт для знешніх падключэнняў не важны;
• Dst. Port (порт прызначэння): паказваецца порт для вышэйпрыведзеных прыкладаў (напрыклад, 51413 для торэнтаў, 3389 для RDP і г.д.);
• Any Port можна пакінуць пустым, але калі пазначыць нумар, адзін порт будзе выкарыстоўвацца і як які ўваходзіць, і як выходны;
• In. Interface: ўпісваецца порт самага роутера (звычайна гэта ether1-gateway);
• Out. Interface: паказваецца выходны інтэрфейс (можна прапусціць).

Заўвага: у выпадку пракінулі партоў для выдаленага падлучэння звонку (RDP) у поле Src. Address пазначаецца IP аддаленага кампутара, зь якога мяркуецца ажыццяўляць доступ. Стандартны порт RDP-падлучэння 3389. Аднак большасць спецыялістаў займацца падобнымі рэчамі не рэкамендуе, паколькі нашмат бяспечней і прасцей наладзіць на маршрутызатары VPN.

Далей у роутере Mikrotik пракінулі партоў мяркуе выбар дзеяння (Action). Уласна, тут досыць паказаць ўсяго тры параметру:

• Action: accept (просты прыём), але для доступу звонку паказваецца dst-nat (можна паказаць больш прасунутую наладу netmap);
• To Addresses: ўпісваецца ўнутраны адрас машыны, на які павінна будзе адбывацца перанакіраванне;
• To Ports: у агульным выпадку выстаўляецца значэнне 80, але для карэктнай працы таго ж торэнта паказваецца 51413.

Настройка Mikrotik: пракінулі партоў FTP

Нарэшце, некалькі слоў пра тое, якія налады спатрэбяцца для FTP. Перш за ўсё трэба наладзіць сам FTP-сервер, напрыклад, на аснове FileZilla, але гэта асобная размова. У дадзеным выпадку нас больш цікавіць пракінулі партоў FTP Mikrotik, а не налады сервернай часткі.

Як лічыцца, FTP-сервер хоць і патрабуе ўказанні пэўнага дыяпазону партоў, аднак цалкам нармалёва працуе на кіраўніку партэ 21. Яго неабходна задзейнічаць.

Як і ў агульным выпадку, спачатку трэба стварыць новае правіла, толькі ў дадзенай сітуацыі іх будзе два: для кіраўніка порта і для ўсяго дыяпазону партоў.

Для порта 21 параметры павінны быць такімі:

• Chain: dst-nat;
• Dst. Address: знешні адрас роутера (напрыклад, 1.1.1.28);
• Protocol: 6 (tcp);
• Dst. Port: 21
• In. Interface: ether1-gateway.

Для ўкладкі дзеянні Action ўсталёўваюцца наступныя значэнні:

• Action: dst-nat;
• Dst. Address: адрас тэрмінала, на якім устаноўлены FTP-сервер;
• To Ports: 21.

Для дыяпазону (напрыклад, 50000-50050) усё опцыі аналагічныя, за выключэннем двух параметраў:

• у агульных наладах для Dst. Port паказваецца ўвесь дыяпазон партоў;
• пры выбары дзеяння той жа дыяпазон ўпісваецца ў поле To Ports.

Звярніце ўвагу, што пры наладзе пракінулі для FTP трэба прытрымлівацца дакументацыі роутера, а ў ёй сказана, што не рэкамендуецца выкарыстоўваць пачатковы парог дыяпазону партоў ніжэй значэння 1024. Гэта момант таксама варта ўлічыць.

У прынцыпе, яшчэ можна задзейнічаць функцыю Hairpin NAT Mikrotik, але яна патрэбна толькі ў тых выпадках, калі патрабуецца ўваход пад вонкавым IP з лакальнай сеткі. У агульным выпадку актываваць яе не трэба.