LINUX.ORG.RU
решено ФорумAdmin

Не видно сервер по http за Mikrotik

 ,


0

1

Доброго времени суток! Помогите разобраться с проблемой. Имеется Mikrotik с белым ip 2.2.2.2, за ним находится сервер с гипервизором esxi с локальным ip 192.168.88.249. Хочу достучаться до сервера пока по вебу на порты 80, 443, но настройка файрвола и фильтров ни к чему не привела. Подсткажите, пожалуйста, чего я не учел.

Ниже настройка НАТ (пробросил порты 80, 443)

[root@MikroTik] > /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; default configuration chain=srcnat action=masquerade out-interface=ether1-wan

1 ;;; esxi chain=dstnat action=dst-nat to-addresses=192.168.88.249 to-ports=80 protocol=tcp dst-address=2.2.2.2 in-interface=ether1-wan dst-port=80

2 ;;; esxi_https chain=dstnat action=dst-nat to-addresses=192.168.88.249 to-ports=443 protocol=tcp dst-address=2.2.2.2 in-interface=ether1-wan dst-port=443

Фильтры (разрешил проходящий трафик по портам 80, 443 и перенес правила повыше 2 и 3 в списке):

[root@MikroTik] > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; default configuration chain=input action=accept protocol=icmp

1 ;;; default configuration chain=input action=accept connection-state=established

2 chain=forward action=accept protocol=tcp dst-port=80

3 chain=forward action=accept protocol=tcp dst-port=443

4 ;;; default configuration chain=input action=accept connection-state=related

5 ;;; default configuration chain=input action=accept in-interface=ether1-wan

6 ;;; default configuration chain=forward action=accept connection-state=established

7 ;;; default configuration chain=forward action=accept connection-state=related

8 ;;; default configuration chain=forward action=drop connection-state=invalid

9 chain=forward action=accept out-interface=ether1-wan

Готов заплатить за потраченное время тому, кто поможет разобраться с настройкой и расскажет, как получить доступ извне на ESXI хосты через микротик. Почта для связи cpkiov@gmail.com

kukuruku11 ()

попробуй еще добавить следующее (chain=forward action=accept src-address=192.168.91.0/24) 192.168.91.0/24 - это локальная в которой esxi

arsik ()

А разве если вход идёт со внешки на адрес самого микротика - это форвард, а не input?

Погоди, тс, а где дроп? У тебя последним правилом accept стоит. Ты там половину дефолта не перетер часом? Да и вход статикой идёт или какой pppoe?

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от upcFrost

или какой pppoe

думаю у него как раз этот случай
нужно слушать и прокидать уже с pppoe интейфейса, а он wan прокидает

kiotoze ★★★★ ()
Ответ на: комментарий от upcFrost

затер только одно правило, как раз которое вы заметили, чтобы с внешки рулить. дроп на ассепт поменял. думаю, нужно поменять путь получени белого адреса от провайдера и все будет ок. сейчас я нахожусь еще за натом провайдера, хочу органиховать впн. до конца недели разберусь и отпишу тут.

kukuruku11 ()
Ответ на: комментарий от kukuruku11

сейчас я нахожусь еще за натом провайдера

Имеется Mikrotik с белым ip 2.2.2.2

А, ну так бы сразу и сказал. Это не белый адрес. И фиг ты до сервера извне достучишься если провайдер у себя порты не прокинет (в чем я лично сомневаюсь)

И еще - дроп верни на место. Потом поставишь впн и будешь через него. Даже не вздумай давать accept на всю внешку, иначе дядя Ляо от тебя так просто не отстанет

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от upcFrost

Спасибо за советы) Осознание того, что провайдеру нужно тоже порты кидать пришла чуть позже. Поэтому переиграл на впн. Как все получится, напишу мануал здесь для потомков

kukuruku11 ()
Ответ на: комментарий от kukuruku11

Поэтому переиграл на впн

а к впн ты цепляться как будешь? Для него тоже порты прокидывать надо. Или у тебя есть внешняя точка и ты цепляешь этот сервак как клиент?

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 2)
Ответ на: комментарий от upcFrost

«Или у тебя есть внешняя точка и ты цепляешь этот сервак как клиент?»

Да

kukuruku11 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.