Za usmerjevalnike blagovne znamke Mikrotik je treba narediti veliko pristaniških metov. Za skrbnike omrežij in za nepripravljene uporabnike je reševanje tega problema pogosto težka naloga. V nadaljevanju je kratko navodilo, po katerem lahko z lahkoto izvedete vse tovrstne operacije, vendar boste morali narediti nekaj nereda.
Konfiguriranje mikrotika z lijakom za pristanišče. Zakaj je to potrebno?
Preden nadaljujete s konfiguracijo usmerjevalnika, je vredno nekaj časa preučiti načela prebujanja vrat in za kaj se vse to uporablja.
Privzeta nastavitev Mikrotik je taka, da računalniki, ki se nahajajo v notranjem ali zunanjem omrežju, ne vidijo naslovov IP, ki so dodeljeni drugim terminalom. Tu se uporablja pravilo tako imenovane maškarade, ko usmerjevalnik sam nadomesti naslov naprave, ko prejme zahtevo, ki jo dodeli svojemu zunanjemu IP, čeprav odpre potrebno vrata. Izkazalo se je, da vse naprave, povezane z omrežjem, vidijo le usmerjevalnik, med njimi pa ostanejo nevidne.
V zvezi s tem je v nekaterih primerih za Mikrotikove naprave potreba po padcu pristanišča nujna. Med najpogostejšimi primeri so:
organizacija oddaljenega dostopa do naprav v omrežju, ki temelji na tehnologijah RDP; ustvarjanje igre ali strežnika FTP; organizacija peering omrežij in prilagajanje pravilnega delovanjatorrent odjemalci; dostop do kamer in sistemov videonadzora od zunaj prek interneta. Dostop do spletnega vmesnika
Torej, začnimo. Za Mikrotik usmerjevalnike se začetek padca vrat (RDP, FTP, itd.) Začne s prijavo sistema za upravljanje naprave, ki se imenuje spletni vmesnik. In če za večino znanih usmerjevalnikov standardni naslovi uporabljajo kombinacijo 192168 s končnicami ali 0,1 ali 1,1, potem ta možnost ne preide.
Za dostop do spletnega brskalnika (najboljši način za uporabo standardnega Internet Explorerja) je v naslovno vrstico vnesen niz 19216888.1, v polje za prijavo pa je vnesen skrbnik in niz gesel je praviloma prazen. Če je dostop zaradi nekega razloga blokiran (usmerjevalnik ne sprejme prijave), morate ponastaviti nastavitve s klikom na ustrezen gumb ali tako, da napravo izključite iz napajanja za 10-15 sekund.
Splošne nastavitve in nastavitve
Izvede se prijava v vmesnik. Zdaj je najpomembnejše, da Mikrotikova kapljica vrat temelji na ustvarjanju tako imenovanih pravil izključitve za funkcijo Masquerade (ista maškarada z zamenjavo zgoraj navedenih IP naslovov). V splošnih nastavitvah razdelka Firewall /NAT lahko vidite, da eno pravilo že obstaja. Nastavljena je kot ena od tovarniških nastavitev. Na splošno je padec vrat dodajanje novega pravila s klikom na gumb ikone plus, po katerem boste morali izpolniti nekaj osnovnih polj nastavitev.
Primeri uporabljenih pristanišč
Zdaj pa razmislimoprimeri uporabe pristanišča. Vrednosti so lahko naslednje:
Torrent: tcp /51413; SSH: tcp /22; SQL Server: tcp /1433; WEB strežnik: tcp /80; telnet: tcp /23; PRP: tcp /3389; snmp: udp /161 itd.Te vrednosti se bodo ponovno uporabile za premikanje vsakega takega pristanišča.
Ustvarjanje pravil in izbiranje dejanj
Zdaj ustvarjamo novo pravilo in nadaljujemo z izpolnjevanjem polj za nastavitve. Tukaj morate biti zelo previdni in prišli iz točno tistega, kar potrebujete za dostop (od znotraj navzven ali obratno).
Parametri morajo biti naslednji:
Verižica: srcnat se uporablja za dostop do lokalnega omrežja, tako rekoč, do zunanjega sveta, dstnat - za dostop do lokalnega omrežja od zunaj (izberite drugo možnost za dohodne povezave); naslov polja Src. in dst pustite prazno; V polju protokola izberemo tcp ali udp (vrednost 6 je navadno nastavljena na tcp); Src. Vrata so prazna, to pomeni, da izhodna vrata za zunanje povezave niso pomembna; Dst Port: Določa vrata za zgornje primere (na primer 51413 za torrente, 3389 za RDP itd.) Vsako pristanišče lahko pustite prazno, če pa podate številko, bo eno od vrat Uporablja se kot vhod in izhod; Vmesnik: Vrata samega usmerjevalnika (ponavadi je ether1-gateway); Izhodni vmesnik: Določi vmesnik vira (lahko . Izpustimo)Opomba: Pri prenosu pristanišč za priključitev zunanjega daljinskim upravljalnikom (PRP) na področjuSrc Naslov določa IP oddaljenega računalnika, do katerega je namenjen. Standardna vrata za RDP-povezavo so 3389. Vendar pa večina strokovnjakov ne priporoča takšnih stvari, ker je veliko varnejše in lažje konfigurirati usmerjevalnik VPN.
Nato v usmerjevalniku Mikrotik metanje pristanišča vključuje izbiro dejanja (Akcija). Pravzaprav je dovolj, da določite samo tri parametre:
Dejanje: sprejmite (preprosto sprejemanje), vendar za zunanji dostop podate dst-nat (določite lahko bolj napredno nastavitev za netmap); Naslovi To: Vnesti je treba notranji naslov stroja, na katerega naj se izvede preusmeritev; To Ports: V splošnem primeru je vrednost nastavljena na 80, vendar za pravilno delovanje istega torrenta glej 51413. Konfiguriranje Mikrotik: FTP port throw
Končno nekaj besed o tem, katere nastavitve so potrebne. za ftp Najprej morate konfigurirati sam strežnik FTP, na primer na podlagi datoteke FileZilla, vendar je to ločen pogovor. V tem primeru nas bolj zanima padec FTP vrat Mikrotik, namesto konfiguracije strežniškega dela.
Domneva se, da strežnik FTP, čeprav zahteva določeno vrsto pristanišč, pa odlično deluje na kontrolnem vmesniku 21. Treba ga je aktivirati. Kot v splošnem, morate najprej ustvariti novo pravilo, le v tem primeru bosta dve: za kontrolna vrata in za celotno območje pristanišč.
Za vrata 21 morajo biti parametri naslednji:
Verižica: dst-nat;
Dst. Naslov: Naslov zunanjega usmerjevalnika (na primer 111.28); Protokol: 6 (tcp); Dst. Vrata: 21 V. Vmesnik: ether1-gatewayZavihek Akcija akcije določa naslednje vrednosti:
Dejanje: dst-nat; Dst. Naslov: naslov terminala, na katerem je nameščen strežnik FTP; V vrata: 21.Za območje (na primer 50000-50050) so vse možnosti podobne, razen dveh parametrov:
v splošnih nastavitvah za Dst. Port določa celotno območje pristanišč; Pri izbiri dejanja se isto polje prilega v polje Za vrata.Upoštevajte, da morate pri nastavitvi prenosa FTP slediti dokumentaciji usmerjevalnika in piše, da ni priporočljivo uporabiti začetnega praga obsega pristanišč pod 1024. To točko je treba upoštevati. Načeloma lahko še vedno uporabljate funkcijo Hairpin NAT Mikrotik, vendar je potrebna le, če se morate prijaviti v okviru zunanjega IP lokalnega omrežja. Na splošno ga ni treba aktivirati.
