Mikrotik Hairpin (Loopback) NAT

Опишу, как завернуть обращения из внутренней сети на внешний адрес с пробросом порта. Такая задача часто встречается, когда за NAT`ом находится, например, камера видеонаблюдения или почтовый сервер.

Нам понадобится создать два правила в IP — Firewall — NAT. В примере:
Внешний адрес Микротика — 1.2.3.4
Пробрасываемый порт — 10080 (не будем светить дефолтным портом в мир)
Внутренний адрес ресурса — 192.168.88.100
Целевой порт — 80

Создаем проброс порта с внешнего адреса.
Все пакеты, поступающие на 1.2.3.4:10080 перенаправляем на 192.168.88.100:80.

Не нужно указывать In.Interface, иначе следующее правило не сможет отработать. 

Заворачиваем трафик c внутренних ip, обращающихся на внешний адрес.

Суть в том, что в Dst.Address указывается внутренний ip ресурса (192.168.88.100) и целевой (80), а не пробрасываемый (10080) порт. С точки зрения клиента (приходящего в правило по цепочке srcnat) — он по-прежнему обращается на 1.2.3.4:10080, а Микротик предыдущим правилом резолвит адрес и порт в 192.168.88.100:80, поэтому именно они и отражены в фильтре; при таком запросе пакеты необходимо маскарадить, чтобы ответы пришли на корректный адрес.

Оставьте ответ

Ваш адрес email не будет опубликован.