Открыть «IP» — «Firewall» — вкладку «Filter Rules».
Нажать «Add new» для добавления нового правила.
Далее установить следующие параметры:
Chain: input
Src. Address: тут можно указать IP адрес или сеть с которой разрешено подключаться, если разрешено всем, то не указываем.
Protocol: tcp
Dst. Port: 80 (или 8291 для Winbox, 21 для ftp, 22 для ssh, 23 для telnet, udp 161 для snmp)
Action: accept
Нажать «ОК» для добавления правила.
После этого в фаерволе, в конце списка будет создано правило. Так как оно будет последним, а перед ним стоит правило запрещающее все, то его необходимо перетянуть мышкой в самый верх, иначе от него не будет толку.
Через командную строку правила будут выглядеть следующим образом:
/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept
Поднять вверх списка можно так (где 30 — ID добавленного правила):
/ip firewall filter print
/ip firewall filter move 30 destination=1
Либо в самой команде укажем что нужно расположить правило в самом начале списка:
/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept place-before 0
Также в меню «IP» — «Services» в параметрах нужной службы можно добавить в «Available From» список IP адресов или сетей с которых необходимо разрешить доступ. Доступ ограничивается как для локальных так и внешних адресов, поэтому в первую очередь нужно добавить IP или сеть с которой вы в данный момент подключены.
Приведу пример указания IP адреса через терминал, например для telnet (аналогично ftp,www,ssh,winbox):
/ip service set telnet address=192.168.88.0/24,172.16.205.50/32,192.168.3.24/32
Смотрите также мою статью:
Настройка Hairpin NAT на RouterOS (Mikrotik)
Как организовать доступ на этот FTP сервер снаружи? Спасибо.
Вероятно вам нужно попросить у своего интернет провайдера статический белый IP адрес, тогда его будет видно в интернете. И открыть порты в фаерволе.
В Available From можно добавлять много IP-адресов, нажимаете треугольник вниз и добавляете в столбик адреса. Как добавлять через терминал я дописал в статью команду.
Скажите пожалуйста, а каким образом можно добавить список IP-адресов в поле «Available From»? Хотелось бы к Winbox подключаться как с локального, так и удалённого адреса. Сейчас же сконфигурено: удалённо — IP, локально — МАС. Всё бы ничего, если бы по МАС-у коннект так часто не обрывался.
Заранее спасибо за ответ.
А как сделать, чтобы не 80 порт был? По типу д-линка какого-нибудь, где можно указать по какому порту попадать в веб-интерфейс.
Порт изменяется в IP -> Services -> www
Я имел в виду немного другое. Я не хочу менять порт www, я хочу попадать на него из вне по другому порту. Т.е. из локалки я захожу в веб-интерфес как обычно, просто вбив IP в строку адреса, а из вне я попадаю в веб-интерфейс приписывая к IP :порт отличный от стандартного 80.
Можно попробовать пробросить порт на примере статьи — https://ixnfo.com/probros-portov-na-marshrutizatorah-mikrotik.html
Можно чуть проще. Не netmap, a redirect. Оно как раз для таких дел и предназначено, как destination NAT to local ip.