ການຕັ້ງຄ່າ Mikrotik, ການສົ່ງຕໍ່ແລະພອດ ftp RDP. ວິທີເຮັດແນວໃດສົ່ງຕໍ່ພອດໃນ Mikrotik?

ສໍາລັບ routers ຍີ່ຫໍ້ Mikrotik ການສົ່ງຕໍ່ພອດ ຈໍາເປັນຕ້ອງມີເພື່ອເຮັດໃຫ້ມັກ. ຢ່າງໃດກໍຕາມ, ສໍາລັບຜູ້ບໍລິຫານເຄືອຂ່າຍ, ແລະການແກ້ໄຂຜູ້ໃຊ້ untrained ກັບບັນຫານີ້ມັນເປັນມັກຈະຂ້ອນຂ້າງມີຄວາມຫຍຸ້ງຍາກ. ຕໍ່ໄປນີ້ແມ່ນຄໍາແນະນໍາໂດຍຫຍໍ້, ດັ່ງຕໍ່ໄປນີ້ຊຶ່ງມັນເປັນໄປໄດ້ທີ່ຈະປະຕິບັດປະຕິບັດງານຂອງປະເພດນີ້ໄດ້ຢ່າງງ່າຍດາຍ, ຢ່າງໃດກໍຕາມ, ມີນ້ອຍຂອງບັນຫາ.

ການຕັ້ງຄ່າ Mikrotik ກັບການສົ່ງຕໍ່ພອດ. ເປັນຫຍັງເຮັດໄດ້?

ກ່ອນທີ່ຈະພະຍາຍາມທີ່ຈະສ້າງຕັ້ງຂຶ້ນເລົາເຕີຄວນຈະເລັກນ້ອຍກ່ຽວກັບຫຼັກການພື້ນຖານຂອງຮູສຽບການສົ່ງຕໍ່, ແລະກ່ຽວກັບຄວາມຈິງທີ່ວ່າສໍາລັບການນໍາໃຊ້ເຫຼົ່ານີ້ທັງຫມົດ.

ການຕັ້ງຄ່າ Mikrotik, ການຕິດຕັ້ງໂດຍຕອນຕົ້ນ, ເຊັ່ນວ່າຄອມພິວເຕີໃນເຄືອຂ່າຍພາຍໃນຫຼືພາຍນອກ, ທີ່ຢູ່ IP ມອບຫມາຍໃຫ້ອາຄານອື່ນໆ, ບໍ່ສາມາດເບິ່ງ. ມັນໃຊ້ອັນທີ່ເອີ້ນວ່າກົດລະບຽບຂອງ masquerade ໄດ້, ໃນເວລາທີ່ເລົາເຕີຕົວຂອງມັນເອງໃນເວລາທີ່ທ່ານໄດ້ຮັບການຮ້ອງຂໍເພື່ອທົດແທນການທີ່ຢູ່ຂອງເຄື່ອງໄດ້, ທີ່ທ່ານໄດ້ຮັບການອອກແບບຂອງຕົນເອງພາຍນອກ IP ໄດ້, ເຖິງແມ່ນວ່າມັນສາມາດເປີດພອດທີ່ກໍານົດໄວ້. ມັນ turns ໃຫ້ເຫັນວ່າອຸປະກອນທັງຫມົດທີ່ເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍ, ເບິ່ງ router ເທົ່ານັ້ນ, ແລະລະຫວ່າງເຂົາເຈົ້າເອງຍັງເບິ່ງເຫັນ.

ໃນເລື່ອງນີ້, ໃນສະຖານະການສະເພາະໃດຫນຶ່ງ, ສໍາລັບການທີ່ Port ອຸປະກອນ Mikrotik forwarding ມັນຈະກາຍເປັນຄວາມຈໍາເປັນຢ່າງແທ້ຈິງ. ໃນກໍລະນີທົ່ວໄປສ່ວນໃຫຍ່ປະກອບມີດັ່ງຕໍ່ໄປນີ້:

• ອົງການຈັດຕັ້ງຂອງການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກທີ່ຈະອຸປະກອນກ່ຽວກັບເຄືອຂ່າຍບົນພື້ນຖານຂອງເຕັກໂນໂລຊີ RDP ໄດ້;
• ເປັນເກມຫຼື FTP ເຄື່ອງແມ່ຂ່າຍ;
• ອົງການຈັດຕັ້ງຂອງ ຫມູ່ເພື່ອນເພື່ອມິດສະຫາຍເຄືອຂ່າຍ ແລະກໍາຫນົດຄ່າປະຕິບັດຫນ້າທີ່ຖືກຕ້ອງຂອງລູກຄ້າ torrent ທີ່;
• ການເຂົ້າເຖິງກ້ອງວົງຈອນແລະລະບົບການເຝົ້າລະວັງວີດີໂອຈາກພາຍນອກໂດຍຜ່ານອິນເຕີເນັດ.

ການເຂົ້າເຖິງການໂຕ້ຕອບເວັບໄຊຕ໌

ໃນປັດຈຸບັນທີ່ທ່ານກໍາລັງກຽມພ້ອມ. routers Mikrotik ສົ່ງຕໍ່ ພອດ (ທີ່ RDP, ການ FTP, ແລະອື່ນໆ) ຈະເລີ່ມຕົ້ນກັບທາງເຂົ້າຂອງລະບົບການຄຸ້ມຄອງອຸປະກອນທີ່ເອີ້ນວ່າການໂຕ້ຕອບເວັບໄຊຕ໌ໄດ້. ແລະຖ້າຫາກວ່າສ່ວນໃຫຍ່ຂອງ routers ທີ່ຮູ້ຈັກເປັນທີ່ຢູ່ມາດຕະຖານການນໍາໃຊ້ໂດຍສົມທົບ 192,168 ສິ້ນສຸດບໍ່ວ່າຈະເປັນ 01 ຫລື 11, ບ່ອນທີ່ທາງເລືອກນີ້ແມ່ນບໍ່ຜ່ານ.

ໃນການເຂົ້າເຖິງເວັບໄຊຕ໌ຂອງຕົວທ່ອງເວັບ (ທີ່ດີທີ່ສຸດການນໍາໃຊ້ມາດຕະຖານ Internet Explorer) ໃນແຖບທີ່ຢູ່ແມ່ນໄດ້ປະສົມປະສານຂອງ 192.168.88.1 ເປັນ, ໃນພາກສະຫນາມເຂົ້າສູ່ລະບົບທີ່ທ່ານເຂົ້າເບິ່ງແລລະບົບ, ແລະຊ່ອຍແນ່ລະຫັດຜ່ານຕາມປົກກະຕິແມ່ນເປົ່າ. ໃນກໍລະນີທີ່ເຂົ້າເຖິງສໍາລັບເຫດຜົນບາງຢ່າງໄດ້ຖືກສະກັດ (ໄດ້ router ບໍ່ຍອມຮັບເຂົ້າສູ່ລະບົບ) ຈໍາເປັນຕ້ອງໄດ້ເຮັດໃຫ້ຕັ້ງໂຮງງານຜະລິດໂດຍການກົດປຸ່ມຫຼືປິດອຸປະກອນຈາກພະລັງງານສໍາລັບ 10-15 ນາທີ.

ການຕັ້ງຄ່າທົ່ວໄປແລະທາງເລືອກ

ເຂົ້າສູ່ລະບົບຜະລິດໃນການໂຕ້ຕອບຂອງ. ໃນປັດຈຸບັນສິ່ງທີ່ສໍາຄັນທີ່ສຸດໃນການສົ່ງຕໍ່ພອດ Mikrotik ແມ່ນອີງໃສ່ການສ້າງຂອງຂໍ້ຍົກເວັ້ນອັນທີ່ເອີ້ນວ່າລະບຽບການສໍາລັບການທໍາງານຂອງ Masquerade (ເຊົ່ນດຽວກັນ masquerade spoofing IP-ທີ່ຢູ່, ທີ່ໄດ້ກ່າວມາຂ້າງເທິງນີ້) ໄດ້.

ໃນພາກ Settings ທົ່ວໄປ Firewall / NAT ທ່ານສາມາດເບິ່ງວ່າກົດລະບຽບຫນຶ່ງທີ່ມີຢູ່ແລ້ວ. ມັນໄດ້ຖືກກໍານົດເປັນການຕັ້ງຄ່າໄວ້ໃນຕອນຕົ້ນໂຮງງານຜະລິດ. Port ສົ່ງຕໍ່ແມ່ນໂດຍທົ່ວໄປປະກອບດ້ວຍການເພີ່ມກົດລະບຽບໃຫມ່ໂດຍການຄລິກສັນຍາລັກທີ່ມີປຸ່ມບວກ, ຫຼັງຈາກນັ້ນມັນຈະມີຄວາມຈໍາເປັນທີ່ຈະຕື່ມຂໍ້ມູນໃສ່ໃນການຕັ້ງຄ່າທົ່ງນາພື້ນຖານຈໍານວນຫນຶ່ງ.

ຕົວຢ່າງຂອງພອດງາມ

ໃນປັດຈຸບັນໃຫ້ພວກເຮົາພິຈາລະນາບາງສ່ວນຂອງຕົວຢ່າງທີ່ເປັນໄປໄດ້ຂອງການນໍາໃຊ້ຂອງຮູສຽບ. ໂດຍອີງຕາມຈຸດປະສົງສໍາລັບການທີ່ມັນຈະໃຊ້ແຕ່ລະຄ່າພອດເປີດອາດຈະມີ:

• Torrent: tcp / 51413;
• SSH: tcp / 22;
• SQL Server: tcp / 1433;
• WEB Server: tcp / 80;
• telnet: tcp / 23
• RDP: tcp / 3389;
• snmp: UDP / 161, ແລະອື່ນໆ

ຄຸນຄ່າເຫຼົ່ານີ້ແມ່ນມີພຽງແຕ່ການທີ່ຈະໄດ້ຮັບການນໍາໃຊ້ສໍາລັບການສົ່ງຕໍ່ແຕ່ລະພອດເຫຼົ່ານີ້.

ກົດລະບຽບການສ້າງແລະທາງເລືອກໃນການປະຕິບັດການ

ໃນປັດຈຸບັນສ້າງກົດລະບຽບໃຫມ່ແລະດໍາເນີນການເພື່ອຕື່ມຂໍ້ມູນໃສ່ໃນພາກສະຫນາມການຕັ້ງຄ່າ. ທີ່ນີ້ທ່ານຈໍາເປັນຕ້ອງໄດ້ລະມັດລະວັງຫຼາຍແລະດໍາເນີນການຈາກສິ່ງທີ່ປະເພດຂອງການເຂົ້າເຖິງແມ່ນມີຄວາມຈໍາເປັນເພື່ອປະຕິບັດ (ຈາກພາຍໃນກັບພາຍນອກຫລືໃນທາງກັບກັນ).

ການຕັ້ງຄ່າຄວນຈະ:

• ລະບົບຕ່ອງໂສ້: srcnat ຖືກນໍາໃຊ້ເພື່ອການເຂົ້າເຖິງເຄືອຂ່າຍທ້ອງຖິ່ນ, ສະນັ້ນເວົ້າ, ໃຫ້ໂລກພາຍນອກ, dstnat - ໃນການເຂົ້າເຖິງເຄືອຂ່າຍໃນທ້ອງຖິ່ນຈາກພາຍນອກ (ເລືອກເອົາສະບັບທີ່ສອງ Inbound);
• src ຢູ່ພາກສະຫນາມ. ແລະ Dst. ອອກຈາກເປົ່າ;
• ພາກສະຫນາມອະນຸສັນຍາການເລືອກບໍ່ວ່າຈະ tcp ຫລື udp (ປົກກະຕິແລ້ວກໍານົດການ 6 (tcp);
• src. Port ປ່ອຍໃຫ້ຫວ່າງ, ie, ພອດລາຍຈ່າຍສໍາລັບການເຊື່ອມຕໍ່ພາຍນອກແມ່ນບໍ່ສໍາຄັນ;
• Dst. Port (ພອດຂອງຈຸດຫມາຍປາຍທາງ): ທ່າເຮືອສໍາລັບຕົວຢ່າງຂ້າງເທິງນີ້ (ຕົວຢ່າງ: 51413 ສໍາລັບ torrents, 3389 ສໍາລັບ RDP, ແລະອື່ນໆ);
• Port ໃດສາມາດໄດ້ຮັບການປະໄວ້ເປົ່າ, ແຕ່ຖ້າຫາກວ່າທ່ານກໍານົດຕົວເລກ, ຫນຶ່ງພອດຈະໄດ້ຮັບການນໍາໃຊ້ເປັນມາແລະເປັນຂາອອກ;
• ໃນ. Interface: ຊັກພອດຂອງ router (ປົກກະຕິແລ້ວ ether1, ປະຕູ) ໄດ້;
• ອອກ. ການໂຕ້ຕອບ: ສະແດງເຖິງການໂຕ້ຕອບອອກ (ສາມາດ skipped).

ຫມາຍເຫດ: ໃນກໍລະນີການສົ່ງຕໍ່ພອດສໍາລັບເຊື່ອມຕໍ່ຫ່າງໄກສອກຫຼີກນອກ (RDP) ໃນພາກສະຫນາມ Src. ທີ່ຢູ່ຊີ້ໃຫ້ເຫັນ IP ຂອງຄອມພິວເຕີຫ່າງໄກສອກຫຼີກ, ຈາກທີ່ມັນຄວນຈະເຂົ້າເຖິງ. ມາດຕະຖານພອດ RDP, ການເຊື່ອມຕໍ່ 3389. ຢ່າງໃດກໍຕາມ, ຜູ້ຊ່ຽວຊານທີ່ເຮັດສິ່ງດັ່ງກ່າວບໍ່ໄດ້ຖືກແນະນໍາໃຫ້, ຍ້ອນວ່າມັນມີຄວາມປອດໄພແລະງ່າຍຕໍ່ການກໍາຫນົດຄ່າໃນ router VPN.

ການປະຕິບັດໃນຕໍ່ຫນ້າ, ໄດ້ router Mikrotik ການສົ່ງຕໍ່ພອດກ່ຽວເລືອກ (ປະຕິບັດ). ຕົວຈິງແລ້ວ, ບໍ່ມີພຽງພໍທີ່ຈະລະບຸທັງຫມົດສາມຕົວກໍານົດການ:

• ປະຕິບັດ: ຍອມຮັບ (ວິທີການງ່າຍດາຍ), ແຕ່ການເຂົ້າເຖິງລະບຸນອກ dst-nat (ທ່ານສາມາດກໍານົດການຕັ້ງຄ່າຂັ້ນສູງ netmap);
• ການທີ່ຢູ່: ພໍດີກັບທີ່ຢູ່ພາຍໃນຕົວເຄື່ອງທີ່ຄວນປ່ຽນເສັ້ນທາງຈະເກີດຂຶ້ນ;
• ໄປ Ports: ໂດຍທົ່ວໄປ, ມູນຄ່າການຕັ້ງຄ່າ 80, ແຕ່ສໍາລັບການປະຕິບັດງານທີ່ຖືກຕ້ອງຂອງ torrent ດຽວກັນທີ່ລະບຸໄວ້ 51413.

ການຕັ້ງຄ່າ Mikrotik: ການສົ່ງຕໍ່ພອດ FTP

ທ້າຍສຸດນີ້, ເປັນຄໍາເວົ້າສອງສາມກ່ຽວກັບສິ່ງທີ່ການຕັ້ງຄ່າທີ່ຈໍາເປັນສໍາລັບການ FTP. ຫນ້າທໍາອິດຂອງການທັງຫມົດ, ທ່ານຈໍາເປັນຕ້ອງກໍາຫນົດຄ່າຕົວຂອງມັນເອງ FTP ເຄື່ອງແມ່ຂ່າຍ, ສໍາລັບການຍົກຕົວຢ່າງ, ບົນພື້ນຖານຂອງ FileZilla, ແຕ່ມັນເປັນເລື່ອງທີ່ແຕກຕ່າງກັນ. ໃນກໍລະນີດັ່ງກ່າວນີ້, ພວກເຮົາມີຄວາມສົນໃຈຫຼາຍໃນການສົ່ງຕໍ່ພອດ FTP Mikrotik, ແທນທີ່ຈະກ່ວາການຕັ້ງຄ່າຂອງເຄື່ອງແມ່ຂ່າຍຂ້າງຄຽງ.

ມັນເຊື່ອກັນວ່າ, FTP, ເຄື່ອງແມ່ຂ່າຍຂອງ, ເຖິງແມ່ນວ່າຮຽກຮ້ອງໃຫ້ມີລະດັບທີ່ແນ່ນອນຂອງທ່າເຮືອ, ແຕ່ຂ້ອນຂ້າງປົກກະຕິເຮັດວຽກຢູ່ທ່າເຮືອການຄວບຄຸມ 21. ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະນໍາໃຊ້.

ໃນຖານະເປັນໃນກໍລະນີທົ່ວໄປ, ທ່ານທໍາອິດຕ້ອງໄດ້ສ້າງລະບຽບໃຫມ່, ແຕ່ໃນສະຖານະການດັ່ງກ່າວນີ້, ຈະມີສອງ: ການຄວບຄຸມທີ່ Port ແລະຖິ້ມສໍາລັບລະດັບທັງຫມົດຂອງຮູສຽບ.

ສໍາລັບພອດ 21 ຕົວກໍານົດການຈະຕ້ອງ:

• ລະບົບຕ່ອງໂສ້: dst-nat;
• Dst. ທີ່ຢູ່: ທີ່ຢູ່ພາຍນອກຂອງເລົາເຕີ (ເຊັ່ນ: 1.1.1.28);
• ອະນຸສັນຍາ: 6 (tcp);
• Dst. Port: 21
• ໃນ. Interface: ether1, ປະຕູ.

ສໍາລັບການປະຕິບັດແຖບ, ກໍານົດຄ່າດັ່ງຕໍ່ໄປນີ້:

• ປະຕິບັດ: dst-nat;
• Dst. ທີ່ຢູ່: ທີ່ຢູ່ terminal ຂອງ FTP, ເຄື່ອງແມ່ຂ່າຍຂອງການໄດ້ຖືກຕິດຕັ້ງ;
• ໄປ Ports: 21.

ສໍາລັບລະດັບການ (ເຊັ່ນ: 50000-50050) ທັງຫມົດຂອງທາງເລືອກໃນການແມ່ນຄ້າຍຄືກັນ, ຍົກເວັ້ນສໍາລັບທັງສອງຄໍາສັ່ງ:

• ໃນການປັບຄ່າທົ່ວໄປ Dst. Port ລະບຸລະດັບອັນເຕັມທີ່ຂອງຮູສຽບ;
• ໃນເວລາທີ່ທ່ານເລືອກເອົາລະດັບດຽວກັນຂອງການປະຕິບັດເຫມາະສົມເຂົ້າໄປພາກສະຫນາມເພື່ອຮູສຽບ.

ໃຫ້ສັງເກດວ່າໃນເວລາທີ່ທ່ານສ້າງຕັ້ງຂຶ້ນການສົ່ງຕໍ່ສໍາລັບ FTP ຈໍາເປັນຕ້ອງໄດ້ປະຕິບັດຕາມເອກະສານຂອງ router ໄດ້, ແລະມັນເວົ້າວ່າມັນບໍ່ໄດ້ຖືກແນະນໍາໃຫ້ການນໍາໃຊ້ໃກ້ຈະເຂົ້າສູ່ເລີ່ມຂອງລະດັບພອດຕ່ໍາກວ່າມູນຄ່າຂອງ 1024. ໃນເວລານີ້, ເຊັ່ນດຽວກັນ, ມັນແມ່ນຕົກເປັນມູນຄ່າພິຈາລະນາ.

ຢູ່ໃນຫຼັກການ, ທ່ານຍັງສາມາດນໍາໃຊ້ການທໍາງານຂອງປິ່ນປັກຜົມ NAT Mikrotik, ແຕ່ວ່າມັນແມ່ນມີຄວາມຈໍາເປັນພຽງແຕ່ໃນກໍລະນີທີ່ການປ້ອນຂໍ້ມູນທີ່ກໍານົດໄວ້ສໍາລັບ IP ພາຍນອກຈາກ LAN. ໂດຍທົ່ວໄປ, ທ່ານບໍ່ຈໍາເປັນຕ້ອງກະຕຸ້ນມັນ.