Настройка удаленного доступа в маршрутизаторах Mikrotik

Открыть «IP» — «Firewall» — вкладку «Filter Rules».
Нажать «Add new» для добавления нового правила.

Далее установить следующие параметры:

Chain: input
Src. Address: тут можно указать IP адрес или сеть с которой разрешено подключаться, если разрешено всем, то не указываем.
Protocol: tcp
Dst. Port: 80 (или 8291 для Winbox, 21 для ftp, 22 для ssh, 23 для telnet, udp 161 для snmp)
Action: accept

Нажать «ОК» для добавления правила.

После этого в фаерволе, в конце списка будет создано правило. Так как оно будет последним, а перед ним стоит правило запрещающее все, то его необходимо перетянуть мышкой в самый верх, иначе от него не будет толку.

Через командную строку правила будут выглядеть следующим образом:

/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept

Поднять вверх списка можно так (где 30 — ID добавленного правила):

/ip firewall filter print
/ip firewall filter move 30 destination=1

Либо в самой команде укажем что нужно расположить правило в самом начале списка:

/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept place-before 0

Также в меню «IP» — «Services» в параметрах нужной службы можно добавить в «Available From» список IP адресов или сетей с которых необходимо разрешить доступ. Доступ ограничивается как для локальных так и внешних адресов, поэтому в первую очередь нужно добавить IP или сеть с которой вы в данный момент подключены.

Приведу пример указания IP адреса через терминал, например для telnet (аналогично ftp,www,ssh,winbox):

/ip service set telnet address=192.168.88.0/24,172.16.205.50/32,192.168.3.24/32

Смотрите также мою статью:
Настройка Hairpin NAT на RouterOS (Mikrotik)

Did my article help you? How about buying me a cup of coffee as an encouragement? Buy me a coffe.

Вливайтесь в общение

9 комментариев

Добавить комментарий

  1. Как организовать доступ на этот FTP сервер снаружи? Спасибо.

    1. Вероятно вам нужно попросить у своего интернет провайдера статический белый IP адрес, тогда его будет видно в интернете. И открыть порты в фаерволе.

  2. В Available From можно добавлять много IP-адресов, нажимаете треугольник вниз и добавляете в столбик адреса. Как добавлять через терминал я дописал в статью команду.

  3. Скажите пожалуйста, а каким образом можно добавить список IP-адресов в поле «Available From»? Хотелось бы к Winbox подключаться как с локального, так и удалённого адреса. Сейчас же сконфигурено: удалённо — IP, локально — МАС. Всё бы ничего, если бы по МАС-у коннект так часто не обрывался.
    Заранее спасибо за ответ.

  4. А как сделать, чтобы не 80 порт был? По типу д-линка какого-нибудь, где можно указать по какому порту попадать в веб-интерфейс.

      1. Я имел в виду немного другое. Я не хочу менять порт www, я хочу попадать на него из вне по другому порту. Т.е. из локалки я захожу в веб-интерфес как обычно, просто вбив IP в строку адреса, а из вне я попадаю в веб-интерфейс приписывая к IP :порт отличный от стандартного 80.

          1. Можно чуть проще. Не netmap, a redirect. Оно как раз для таких дел и предназначено, как destination NAT to local ip.