Как открыть порт на MikroTik через правило firewall

Открытие порта на MikroTik требует настройки механизма Destination NAT, который перенаправляет входящие запросы из внешней сети на конкретный IP-адрес внутри локального сегмента. Для корректной работы конфигурации необходимо наличие публичного IP-адреса на WAN-интерфейсе и правильно настроенная цепочка правил фильтрации. Данный процесс подразумевает создание трансляции адресов и портов, а также разрешение прохождения трафика через межсетевой экран. Ошибки в цепочках NAT или фильтрах являются основными причинами недоступности сервисов извне.

Содержание:

Подготовка к настройке проброса портов

Перед внесением изменений в конфигурацию убедитесь, что ваш провайдер предоставляет публичный IP-адрес. Проверить это можно, сравнив адрес на WAN-интерфейсе роутера с данными на любом сервисе определения IP. Если адрес находится в диапазонах 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16, проброс портов не будет работать, так как сеть находится за NAT провайдера.

Совет: Для проверки доступности порта используйте внешние онлайн-сканеры, так как попытка обращения к внешнему IP-адресу изнутри локальной сети часто блокируется самим роутером, если не настроен Hairpin NAT.

Создание правила Destination NAT (dst-nat)

Основная задача NAT — изменить адрес назначения входящего пакета с внешнего IP роутера на внутренний IP целевого устройства. Настройка выполняется в разделе IP -> Firewall -> NAT.

  1. Перейдите во вкладку NAT и создайте новое правило (кнопка +).
  2. На вкладке General установите Chain: dstnat.
  3. В поле Dst. Address введите ваш публичный IP-адрес (опционально, если IP динамический, поле можно оставить пустым).
  4. В поле Protocol выберите протокол (обычно tcp или udp) и укажите номер порта в поле Dst. Port.
  5. На вкладке Action выберите тип действия dst-nat.
  6. В поле To Addresses укажите IP-адрес внутреннего сервера или устройства.
  7. В поле To Ports укажите порт, на который должен прийти запрос на конечном устройстве.

Настройка правил Firewall Filter для разрешения трафика

Простого правила NAT недостаточно, так как по умолчанию цепочка forward в MikroTik закрыта правилом drop. Необходимо явно разрешить прохождение пакетов к целевому устройству.

  1. Откройте IP -> Firewall -> Filter Rules.
  2. Создайте правило с Chain: forward.
  3. На вкладке Advanced или Connection укажите параметры, соответствующие вашему NAT-правилу: Dst. Address (внутренний IP устройства) и Dst. Port.
  4. На вкладке Action установите значение accept.
  5. Разместите это правило выше общего правила, блокирующего входящие соединения из WAN (обычно это правило с комментарием «drop all from WAN»).

Типичные ошибки при конфигурации

  • Неверная последовательность правил: Правила фильтрации обрабатываются сверху вниз. Если правило drop стоит выше вашего разрешающего правила, трафик будет отброшен.
  • Отсутствие Hairpin NAT: Если вы пытаетесь подключиться к сервису по внешнему IP, находясь внутри локальной сети, соединение не установится. Для решения этой проблемы необходимо добавить правило src-nat с указанием локальной подсети и исходящего интерфейса (обычно bridge).
  • Конфликт портов: Попытка пробросить порт, который уже используется самим MikroTik (например, 80 или 8291), приведет к неработоспособности проброса или потере доступа к управлению роутером.
  • Игнорирование протокола: Многие забывают указывать протокол (TCP/UDP), оставляя его по умолчанию, что приводит к некорректной фильтрации пакетов.

Проверка корректности настроек

Для диагностики используйте встроенный инструмент Torch на интерфейсе, смотрящем в локальную сеть. Запустите его, укажите адрес целевого устройства и попробуйте подключиться к порту извне. Если в столбцах tx/rx появляются данные, значит, пакеты успешно проходят через роутер. Если данных нет, проверьте правило NAT (счетчик пакетов должен увеличиваться при попытке подключения) и правило Filter (счетчик должен также показывать активность).

Читайте также:
Из рубрики: NAT и порты

Добавить комментарий