Mikrotikのポートフォワーディング-初心者向けの教育プログラム

ネットワーク上でMikrotik RouterOSを操作するためのさまざまな指示を見つけましたが、それらのほとんどは情報価値がないことに気付きました。可能性はまったくありません。

そのため、実行するものだけでなく、理由と理由を説明する小さな一連の指示を作成することにしました。



したがって、最も単純なものから始めましょう。同時に、正しいもの-内部ネットワークからポートを「外へ」転送します。



ネットワークは、次の形式で概略的に表すことができます。





Mikrotik RB951-2nルーターを例として使用して、さらに詳しく見てみましょう。 5つのポートとWiFiモジュールがあります。

WebインターフェイスまたはWinboxを介してルーターに接続し(デフォルトではログインはパスワードなしのadminです)、インターフェイスのリストに移動します。これはメニューの2番目のアイテムInterfacesです。





ここでは、ルーターで使用可能なすべてのインターフェイスが表示されます(インターフェイスは、大まかに言って、ルーターと別のコンピューターとの通信チャネルです)





最初はブリッジローカルです -「ローカルブリッジ」。 この場合、ローカルネットワークとWiFiを介したワイヤレス接続の間にブリッジをインストールするのに役立ちます(Mikrotikでは、複数のインターフェイスをスイッチに結合するか、ブリッジ(ブリッジ)で接続できます。これら2つのオプションにはそれぞれ長所と短所があります。しかし、これは別の記事のトピックです)。

次に、 ether1-gateway 。 Ether1は、ルーターのフロントパネルにある最初のRJ45コネクタです。 デフォルトでは、プロバイダーからのインターネットとのケーブルが接続されていると考えられています。 したがって、ゲートウェイと呼ばれます-「ゲートウェイ」(原則として、これは最初のポートである必要はありません。必要に応じて、他のポートをゲートウェイとして指定できます。複数のプロバイダーからの接続がある場合は、同時に複数のポートを指定できます)。

次に、4つのLANポートがあります。 これらは、2番目のRJ45コネクタから始まるスイッチで結合され、 ether2-master-localと呼ばれ、残りの3つは政治的に間違ってslave-localと呼ばれます。 ここで、ロジックは簡単です。ポート3、4、5のパラメーターでは、主なものはそれぞれポート番号2であると述べられています。4つのポートはすべて自動的に仮想スイッチに結合されます。 そして、内部ネットワークのこの仮想スイッチは、最初の回線からのブリッジを介してワイヤレスネットワークと統合されます。



外部インターネットと内部ネットワークの間には、NAT-ネットワークアドレス変換、文字通り「ネットワークアドレス変換」があります。 ローカルネットワーク上にあるコンピューターがネットワーク上の内部アドレスを持ち、インターネット上の他のすべてのコンピューターおよびサーバーと正常に通信できるようにするメカニズム(この場合、外部サーバーの場合、ネットワーク内のすべてのコンピューターは同じアドレス(ルーターの外部アドレス)で表されます)。 つまり、内部ネットワークからインターネットにアクセスすると、ルーターはコンピューターの内部アドレスをそのアドレスに置き換え、インターネット上のサーバーから応答を受信し、最初の要求を行ったコンピューターのローカルアドレスにリダイレクトします。 これはマスカレード-「マスカレード」と呼ばれます。ローカルネットワーク上のマシンからのデータは「マスクをかける」ように見え、外部サーバーにとってはルーター自体から来るように見えます。 同様に、外部ネットワークから接続する場合は、ルールをどこかに設定する必要があります。ローカルネットワーク上のどのコンピューターがルーター上のポートへの接続試行に応答する必要があるかです。 例で説明します。





ルーターに接続してポート110および51413に接続する場合、PC1にリダイレクトされ、ポート3189に接続される場合はPC2にリダイレクトされます。

これがNATの目的です。

Mikrotikでは、NAT管理はIP- > Firewall- > NATセクションにあります。







ここでは、1つのルールがすでに存在していることがわかります。 デフォルトの構成で自動的に作成されます-これは同じ「マスカレード」であり、内部ネットワーク上のコンピューターがインターネット上のサーバーに通常アクセスできるようにするために必要です。

まったく逆のことが必要です。外部からローカルネットワーク上のマシンの1つに接続するルールを追加します。 たとえば、torrentクライアントが効果的に機能するために、nasという名前のマシンでポート51413を使用できるようにします。

青いプラス記号をクリックします





表示される新しいルールウィンドウでは、いくつかのオプションのみが必要です。



最初はChainです。 srcnatdstnatの 2つのオプションしかありません。 チェーンは、大まかに言って、データフローの方向です。 Srcnat-内部ネットワークから外部へ、 dstnat-外部から内部へ。 ご想像のとおり 、この場合、 dstnatを選択する必要があります。

次はSrcです。 アドレス (ソースアドレス)とDst。 住所 外部接続の場合、送信元アドレスはインターネット上の数十億台のコンピューターのいずれかのアドレスになり、宛先アドレスは常にルーターの外部アドレスになります。 これらの点は意味がありません。

次に、 プロトコル項目。 ここで値を選択する必要があります。そうしないと、ポート番号を指定できません。 トレントの場合は、ここでtcpを選択します。

Src。 ポート (発信ポート)-これは、リモートマシンがルーターとの接続を開始するポートです。 私たちには何の違いもありません。ここには何も置きません。

Dst。 ポート (宛先ポート)-これはまさに、接続を受け入れたいポートです。 トレントクライアントでは51413です。

次に、楽しいアイテムAnyが登場します。 ポート (任意のポート)-つまり、これは前の2つのポイントの結合です。ここでは、送信元ポートと宛先ポートの両方で機能する値を指定できます。 一般的に、これは必要ありません。

今、非常に重要な点:

で。 インターフェース (着信インターフェース)は、大まかに言って、指定されたポートが「リスニング」しているインターフェースです。 このパラメーターが指定されていない場合、 dstnatチェーンがある場合でも、このポートは内部ネットワークからアクセスできなくなります。 したがって、ここでは、インターネットに接続するためのインターフェイスを選択します。ここでは、 ether1-gatewayです。

アウト。 インターフェイス (発信インターフェイス)-リダイレクト先のマシンが接続されているインターフェイス。 ここに何かを置く意味はありません。

次は高度に特殊化されたパラメーターです。今はそれらについて詳しく説明しません。

その結果、次の図が得られます。





[ 詳細設定]タブと[ 追加]タブにはさまざまな微調整オプションが含まれていますが、それらは必要ありません。すぐにアクションに進みます





ここで、 アクションリストから、前に指定したポートへの接続で実行する特定のアクションを選択する必要があります。 いくつかの選択項目があります。

accept-パケットを受け入れます。

add-dst-to-address- list-宛先アドレスを指定されたアドレスリストに追加します。

add-src-to-address- list-前のものと似ていますが、送信元アドレス用です。

dst-nat-外部ネットワークからのデータを内部ネットワークに転送します。

ジャンプ -別のチェーンのデータにルールを適用できます。 たとえば、 srcnatチェーンの場合、 dstnatチェーンルールを適用します

log-パケットに関する情報をルーターログに追加するだけです。

マスカレード -同じ「マスカレード」:ローカルネットワークのマシンの内部アドレスをルーターのアドレスに置き換えます。

netmap-あるアドレスから別のアドレスへのマッピング。 実際、dst-natの開発。

パススルー -現在のルール項目をスキップして、次の項目に進みます。 主に統計に使用されます。

redirect-データをルーター内の別のポートにリダイレクトします。

return-ジャンプルールがこのチェーンで実行された場合、コントロールを返します。

同じ -同じルールをアドレスのグループに適用する必要がある非常にまれなケースで使用されます。

src-nat -dst-nat操作を逆にします。内部ネットワークから外部にデータをリダイレクトします。

私たちの目的には、 dst-natnetmapが適しています。 後者は最初のバージョンのより新しく改良されたバージョンであり、それを使用するのが論理的です。





[ To Addresses]フィールドで、ポートの転送先のマシンのアドレスを、[To Ports]フィールドでそれぞれポート自体を指定する必要があります。

気にしないために、アドレスの代わりにコンピューターの名前を書き、ポートを示します。





そして、[ 適用 ]ボタンをクリックすると、ルーター自体がマシンのアドレスを見つけます。





最後に、[ コメント ]をクリックしてルールのコメントを指定すると、将来ルールの内容と理由を覚えておく必要がなくなります





すべて、コメント入力ボックスで[ OK ]をクリックし、ルール入力ウィンドウで[ OK ]をクリックします。





ルールが作成され、すべてが機能します。



注意してください-「開く」ことに加えて、ポートは必要ありません!



この指示は、ファームウェアバージョン5および6に関連しています。バージョン7より前は、何かが変更されることはほとんどありません。



All Articles