Есть компьютер с веб-сервером, находится за Микротик с внешним адресом и проброшенным 80м портом. Снаружи сервер отлично виден и работает. Из локальной сети, набирая внешний адрес попадаем на веб-интерфейс Микротика. Я так полагаю что надо изменить порт веб-интерфейса. Но как? Или вообще есть другой выход?

(0) можно вообще веб-интерфейс вырубить и winbox'ом ходить на микротик...

(1) а при отключении веб-интерфейса, Винбокс подключится?

(2) да, он по другому порту вообще работает

8291, если правильно помню, по умолчанию для подсоединения винбокса

(3) да, точно. А как отключить веб-интерфейс?

Йандекс дает первую же ссылку: http://forum.ru-board.com/topic.cgi?forum=8&topic=51186

ссылка хреновая, путного решения нет

Вот эта получше: http://asp24.com.ua/blog/zashita-mikrotik-ot-vneshnih-vtorjenii/
Найдите строку: Сервисы FTP и WWW

(6) изменил порт на 82, прописал адрес определенного компа, однако не видит комп себя, но и микротик тоже не видит))

(9) см. (8)

(8) фигушки. Отключил WWW, сервер всё так же не виден

значит, с пробросом что-то не то либо фаер режет пакеты. Снаружи с другого IP есть возможность попробовать и посмотреть логи?

это два разных пути, проброшен снаружи, снутри не проброшен.

(13) как пробросить снутри?

в ДНС микротика пропиши локальный IP как внешний адрес

(12) есть, тока я не очень умею))

(15) а поподробнее можно?

микротик работает ДНСом ?
Да пофиг, в ДНСсреваке пропиши
192.168.0.2 myGlobicServic.com

все локальные запросы на сервер вообще не будут переться на микротик

(19) похоже, ему не локальный нужен. Перечитав еще раз (0), я пришел к выводу что он хочет заходить изнутри через внешний IP на свой же комп... Сдается мне, что не получится.

(0)Все очень просто.
Смотрите - вы сидите за натом микротика.
У вас проброшен порт.
Проброс это такое правило в файерволе.

Так вот если вы заходите из интернета - срабатывает правило для входящих запросов, и запрос перенаправляют на нужный вам компьютер в вашей сети.

Если вы заходите из локальной сети - это не является входящим запросом, поэтому проброс порта, работать не будет!!!


Выход - ходите по локальному адресу, либо пишите в микротике правило на проброс портов для исходящих запросов.

Еще вариант - ходить по имени, и обеспечить чтобы имя резолвилось в локальный адрес.
Т.е в hosts можно прописать, либо в микротике в настройках его DNS указать.

Нужно настроить Hairpin NAT
http://wiki.mikrotik.com/wiki/Hairpin_NAT

В догонку
http://blog.degree.no/2010/07/hairpin-nat/
https://toster.ru/q/59926

(0)а зачем? обращайтесь по 127.0.0.1 гыгыгы

(20) не получится :)))) мое мнение ТС нажрался и сам не знает чего хочет.

Все получится. Само правильно в локальный ДНС записать.
Иногда такое нужно когда юзер с ноутом работает, скажем, по RDP. И вот этот юзер приходит в офис, коннектится по вайфаю и не понимает почему у него не работает RDP.
Объяснять ему долго про интранет и интернет. Проще сделать то что просит ТС.

(27) а причем здесь проблема ТС и rdp? То что ты написал - там два идиота один юзер, второй его сисадмин.

Я думаю ТС просто первый раз с этим столкнулся и очень удивился, пусть обращается по внутреннему IP в локальной сетке.
Нафига веб сервер ставить за микротик и пробрасывать порт 80 это отдельный вопрос. Потом будут возникать вопросы, почему не пингуется, почему не работает фтп, почта , и тп

Вдогонку - круче если только в сервак 1с втыкают две сетевые, и цепляют к интернету, сервак 1с не только одинэсит, но еще и интернет раздает. :)))) потом это чувак который все это придумал едет еще и в Москву, но конечно возвращается назад. Забавно, судя по теории 6 рукопожатий, ктото еще с мисты стопудово его должен знать :-))))

(28) откуда вы, такие умные, беретесь ?

(30) был бы умные - жили бы в москве и нефть считали.

ЗЫ хочешь поговорим о продвижении сайта о малинке и робототехнике? пару мес не следил у мну - посещаемость упала? что мне делать?

а ну да! сделать идиотскую тему на мисте.

и еще раз откуда. Оттуда.

Объясняю про изначальную проблему. Вот как можно представить сервера гугла 8.8.8.8  или там где они транслируют как их команда продула нам всухую 4:0 что они сидят за микротиком?  Правда? а микротик с нагрузкой то справится?

(27) А чего объяснять, создал два ярлыка и сказал - вот с этого ходишь вне офиса, вот с этого - если в офисе. В простейшем варианте так. На мой взгляд, это как раз тот случай, когда разумнее обойтись без извращений на пустом месте.

TC написал и забил на тему, а народ развлекается :)
MikroTik конечно уникальная вещь в своем ценовом сегменте.
Для желающих его использовать просто необходимо разобраться в базовых понятиях. Начинать стоит с понимания диаграммы движения пакетов. Вот тут http://habrahabr.ru/post/188718/ есть статейка.

(28)А как по другому? Не пихать же веб сервер в интернет голым задом? Без всякой защиты?
По нормальному веб сервер должен стоять за файерволом.

(27)+1000

В зюкселе есть галка специальная - при обращении по внешнему адресу из локалки перенаправлять на локальный комп

(32)Вот с ярлыками это как раз костыли.
У меня вот домашний сервер - там куча виртуалок, на которых куча всяких сервисов, от рабочих до личных. Всякие OWnCloud, rdp, ftp и прочие сервисы.
Я везде захожу по доменному имени.
А так под каждый сервис два ярлыка?

Enable NAT loopback - это для правила NAT (проброса портов)

(37) ну если у вас ко всем прочим сервисам есть настроенный DNS, а доменное имя "белое" от регистратора, то там никаких извращений и не надо. Внутри будет будут ресольвиться локальные адреса машин, а то что придет снаружи - попадет куда нужно.

здесь-то ситуация другая - доменного имени нет, DNS своего тоже...

(34) ты пошутил?

(41)Нет конечно.
Покажи мне хоть одного нормального человека который пихает веб сервер прям наружу, без всякой защиты?

(39)Ничего страшного.
Доменное имя подойдет любое, хоть от DynDNS.
А внутри сети чтобы работало - как правило роутер указывает себя DNS сервером, поэтому прям на нем и пишем соответствие доменного имени и локального адреса.

(42) зайди в любой датацентр их там тысячи. Или к каждому ставят полудохлый микротик?

(44)Микротик это довольно слабая железка, хоть и функциональная, и в дата центрах не применяется, т.к это немного другой класс оборудования.
В датацентрах стоят железки уровнем повыше.
А если у вас один сервер - то почему бы не использовать микротик?

(45) нормальный сервак на линухе сам по себе отличный брандмауер, не надо город городить с микротиками.  Которые вскрывается на раз два.
Но конечно если под веб сервер использовать винду с иис, тогда да.

(45)Т.е. вы считаете единственно приемлемым вариантом когда веб сервер сам маршрутизирует, фильтрует трафик в сети?

И в дата центрах по вашему никакого сетевого железа не стоит, лишь сотни веб серверов каждый из которых и маршутизатор, и файловый сервер, и фаервол?

(47) куда веб серверу маршрутизировать траффик? И причем здесь файловый центр?

(46) насчет вскрытия на раз-два поподробнее, пожалуйста. Пока единственное что я слышал - это вскрытие рута при условии что есть дамп флешки. Если дампа нет - никаких быстрых способов нет, только брутить. Сейчас что-то поменялось?

+ (49) и, кстати, ROS также основана на Linux

(49) а что брутить проблема?

(51) ну вообще-то брутить, во-первых, можно все, во-вторых да, проблема. Это может быть очень долго и может быть заметно.

во всяком случае брут это не раз-два, если у вас пароль не имя любимой кошки, конечно

(53)ну а сервер может и вообще не полуится брутить, сделай выход только с консоли и все, тем более что основное назначение микротика ну ни как файрволл для файл сервера.
М отвлеклись от проблемы ТС. :))))

(54) так и на микротике можно вообще закрыть или предельно ограничить администрирование снаружи... Я просто полагал, что вы слышали о реально быстрых случаях взлома, например, через какую-то уязвимость.

а по теме, в принципе, я с Jump'ом согласен. С адресом, как ТС хочет делать, это извращение, а вот заходить под одним именем снаружи и изнутри вполне реально и полезно, если есть возможность настроить сервер имен.

(56) а точно возможно? есть реальный пример?

(56) по имени - запросто, если в сети есть локальный сервер имен. Когда делается запрос по имени из внутренней сети, он просто разрешает его в нужный адрес локальной сети. Никакие внешние адреса не используются. А снаружи работают сторонние DNS, которые разрешают это имя в адрес интернет-шлюза вашей организации и дальше уже NAT и проброс портов работает стандартным образом.

(58) да не вопрос выделить внутренний сервак под ДНС :-)

(57)У меня дома так сделано.
На роутере прописал соответствие локальных айпишников именам.

(59)Если сеть крупная, то не вопрос.
Если домашняя сеть или офис небольшой -  обычный роутер с этим справится.