Код:[Выделить]/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.0.31 to-ports=80 protocol=tcp dst-address=124.239.16.214 dst-port=8880 log=no
Но что делатьл если необходимо пробросить локальный порт на сервер Centos через l2tp соединение. Ведь по умолчанию Mikrotik будет отдавать пакеты через дефолтный шлюз.
Зачем пробрасывать порт?
Например, у нас есть подключение к сети интернет с серым ip адресом и нам необходимо предоставить серверу на Centos подключаться к видео регистратору или Ip камере внутренней локальной сети Mikrotik.
Код:[Выделить]/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.150 to-ports=559 protocol=tcp dst-address=10.0.0.10 dst-port=559 log=no log-prefix=""
Где 192.168.0.150 локальный адрес регистратора, внутренней сети Mikrotik
to-ports=559 — rtsp порт регистратора, по умолчанию 554
dst-address=10.0.0.10 — локальный адрес l2tp клиента Mikrotik
Код:[Выделить]/ip firewall mangle add chain=input action=mark-connection new-connection-mark=reg-conn passthrough=yes in-interface=l2tp-out_cam1 log=no log-prefix="" /ip firewall mangle add chain=output action=mark-routing new-routing-mark=reg-route passthrough=no connection-mark=reg-conn log=no log-prefix="" /ip firewall mangle add chain=forward action=mark-connection new-connection-mark=reg-conn-f passthrough=no in-interface=l2tp-out_cam1 log=no log-prefix="" /ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=reg-route passthrough=yes connection-mark=reg-conn-f in-interface=bridge log=no log-prefix=""
И в конце создаём route
dst-address=0.0.0.0/0
Gateway = 10.0.0.1 — это Remote address нашего l2tp соединения (т.е. адрес l2tp Centos сервера)
Routing Mark = reg-route
В итоге порт прокинут. Пакеты побежали по всем правилам которые мы создали.
На виртуалке (вашем серверве с белым ip): /etc/sysctl.conf
Код:[Выделить]net.ipv4.ip_forward = 1
Код:[Выделить]sysctl -p
Код:[Выделить]iptables -A FORWARD -p UDP --sport 1701 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 554 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8291 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8888 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 554 -j DNAT --to 10.0.0.10:554 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8000 -j DNAT --to 10.0.0.10:8000 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8291 -j DNAT --to 10.0.0.10:8291 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8888 -j DNAT --to 10.0.0.10:8888