从内部网络到内部网络的端口转发（发夹式NAT）

16

我已经在Mikrotik路由器上成功设置了端口转发，该端口转发将去往mikrotik的端口8844（例如：20.20.20.22：8844）上WAN ip地址的每个请求转换为本地ip地址和相同的端口。

因为我有一个WAN ip地址的DNS名称（20.20.20.22），所以我希望此规则也可以从内部网络使用：

192.168.111.77-> 20.20.20.22:8844-> 192.168.111.2:8844

我找到了一个描述这种情况的Mikrotik网页：http ://wiki.mikrotik.com/wiki/Hairpin_NAT 但是我却无法实现这一目标。

这是规则的打印屏幕

在此处输入图片说明

这只是部分打印屏幕，但其他所有设置均未设置（空白）。

编辑：端口转发规则和路由器上的经典化妆舞会如下所示：

/ip firewall nat
add chain=dstnat in-interface=ether1-gateway protocol=tcp dst-port=8844 \
  action=dst-nat to-address=192.168.111.2 to-port=8844
add chain=srcnat out-interface=ether1-gateway action=masquerade

nat mikrotik

— 朱迪切克·尤达
source

16

解决方案是将端口转发规则重写为不使用in-interface = ether1-gateway，而是dst-address-type = local：

/ip firewall nat
add chain=dstnat dst-address-type=local protocol=tcp dst-port=8844 \
  action=dst-nat to-address=192.168.111.2 to-port=8844

然后添加原始帖子中指定的发夹NAT：

/ip firewall nat
add chain=srcnat src-address=192.168.111.0/24 \
  dst-address=192.168.111.2 protocol=tcp dst-port=8844 \
  out-interface=bridge-local action=masquerade

— 朱迪切克·尤达
source

如果使用网桥，我将无法正常工作。有任何想法吗？

— pcunite

@pcunite：刚刚在RouterOS 6.24 + bridge-local上进行了测试，效果很好！

— lifeofguenter 2014年

@JoudicekJouda我也按照wiki wiki.mikrotik.com/wiki/Hairpin_NAT上的说明进行操作，但是他们从未说过在端口转发规则上使用dst-address-type = local而不是in-interface = ether1-gateway。我想知道为什么会有所作为吗？

— 乔纳森·科玛

0

Nat Masquerade 192.168.111.0/24到192.168.111.0/24，可同时适用于所有服务。不指定接口或端口。内部端口必须与外部端口相同。

— 用户名
source

1

欢迎来到超级用户！您可以通过提供一些更详细的实施方法来改善您的答案，尤其是对于那些对系统有新知识的人。

— 我说恢复莫妮卡