MikroTik - NAT pra servidores de WWW

[Depeche2004]

Srs, boa tarde!

Necessito se um HELP, estou com um MIKROTIK RB2011UIAS.

Consigo fazer NAT de rede interna WEBPROXY e todo restante sem problemas.

Mas estou empacado num ponto e preciso de ajuda:

Tenho um IP FIXO EXTERNO(GATEWAY DE SAIDA),
uma rede interna onde tenho 03 servidores(10.102.0.XXX), onde quero inicialmente as portas 80 de cada um ao IP EXTERNO nas portas 80,81 e 84.

Já tentei de tudo que foi jeito configurar o NAT para direcionar estas portas e não consigo obter sucesso, a desabilitei todos filtros do FIREWALL. Alguem poderia me dar uma luz???

Desde já obrigado!

[Genis]

vc quer que as regras para isso ou quer que um tecnico faz pra vc? esta configuração.

[Depeche2004]

Olá Genis,
Quero eu mesmo fazer as regras. Estas eu tenho e fiz. O quero é saber por que não funcionam.

Abaixo a regra criada:

;;; teste84->80
chain=dstnat action=dst-nat to-addresses=10.102.1.4 to-ports=80 protocol=tcp in-interface=WAN_01 dst-port=84 log=yes log-prefix=""

[berghetti]

cade o action?

add action=dst-nat chain=dstnat disabled=no dst-port=84 protocol=tcp to-addresses=10.102.1.4 to-ports=80

[Depeche2004]

Olá Berghetti.
2º comando da linha que enviei, olhe bem que est lá!
Este comando nãp é um ADD e sim um PRINT.

Abs!

[berghetti]

verdade não tinha visto mesmo.

mas enfim, a regra contabiliza quando tenta o acesso?
tenta retirar a interface IN para teste.

[Depeche2004]

Olá Berghetti,
você fala contabilizada por LOG de acesso? Caso seja SIM.

Já retirei a interface IN e continua na mesma.

[kurlandaniel]

Amigo, mãos na massa.

Não vou postar scripts para você entender como funciona.

Primeiro você deve garantir ao firewall a entrada externa na porta 80.

IP / Firewall / Filter Rules

Adicione uma Regra (Botão +)

[ Aba General ]
Chain = Input
Protocol = TCP
Dst Port = 80
In Interface = Entrada do Seu Link
[Aba Action]
Action = Accept

Agora Vamos ao NAT:

Ip / Firewall / Nat

Adicione uma Regra (Botão +)

[ Aba General ]
Chain = DSTNAT
Protocol = TCP
Dst Port = 80
In Interface = Interface de Entrada do Seu Link
[Aba Action]
Action=dst-nat
To Addresses: IP_DO_SERVIDOR_LOCAL
To Ports = 80


Aguardo sua resposta.

[Depeche2004]

Caro Kurlandaniel, isto tudo eu já havia feito!
Revisei cada detalhe do que você me sugeriu.

Abs.

[berghetti]

a contabilização que mencionei é essa


experimente também colocar uma porta mais alta para acesso externo. (portas 50000 - 60000).

[Depeche2004]

Já fiz isto também. É como se o serviço de DNAT não estivesse funcionando!

[alexrock]

Ficou subentendido, mais vc tem 2 links, correto?
Se tiver, para sair pelo secundário precisa marcar com mangle...

[kurlandaniel]

Amigo você possui 2 Links nessa RB ? Se possui passe maiores detalhes destes links (se é RÁDIO, ADSL, LINK DEDICADO). Se há balanceamento ou não.

Já tive alguns problemas semelhantes por não usar essas regras básicas de firewall:

Firewall / Filter Rules

REGRA 1

Chain: Input
Connection State: Established
Action: Accept

REGRA 2

Chain: Forward
Connection State: Established
Action: Accept

REGRA 3

Chain: Forward
Connection State: Related
Action: Accept


Coloque essas 3 regras acima da sua regra de garantia de INPUT.

[kurlandaniel]

A citação do alexrock está certíssima. Se você possui mais de 1 link, você deve marcar suas respectivas conexões no mangle e criar suas respectivas rotas dando garantia de que quando entrar por um link ele irá sair por ele (garantido assim também para os demais links).

http://oi57.tinypic.com/21jartj.jpg

[berghetti]

O dedicado está como rota principal?

[Depeche2004]

O dedicado está como rota principal?

Sim Berghetti. Está como principal.

[Depeche2004]

A citação do alexrock está certíssima. Se você possui mais de 1 link, você deve marcar suas respectivas conexões no mangle e criar suas respectivas rotas dando garantia de que quando entrar por um link ele irá sair por ele (garantido assim também para os demais links).

http://oi57.tinypic.com/21jartj.jpg

Olá Kurlan.
Como informei ao Alex são 2 sim. 01 dedicado e outro ADSL, somente para saída de acesso de usuários.
Os pacotes já estavão regras MANGLE.
Apliquei os 03 filtros que me passou e também não funcionou.

[Depeche2004]

Ficou subentendido, mais vc tem 2 links, correto?
Se tiver, para sair pelo secundário precisa marcar com mangle...

Olá Alex.
Tenho 2;
01 dedicado,
01 ADSL modem roteado como redundância somente de saida de internet para usuários internos..

[kurlandaniel]

Ja tentou colocar o seu modem em BRIDGE e autenticar via PPPOE pelo mikrotik ???

[Depeche2004]

Ja tentou colocar o seu modem em BRIDGE e autenticar via PPPOE pelo mikrotik ???

Olá Kurlan.
Eu tirei ele do modo BRIDGE para ver se funcionava. quanto a autenticar pelo PPPOE, não entendo no que me aditaria no problema do NAT, mas foi uma das 1º portas que coloquei como LAN no inicio.