Hur man öppnar åtkomst till servern. Hur man kommer åt den externa IP-adressen från det lokala nätverket för MikroTik

Uppmärksamhet! Du bör vara försiktig när du skapar regler för att blockera åtkomst till servern via IP på distans! Blockera inte dig själv av misstag ;-)

Öppna hanteringssektionen lokal politik säkerhet ( lokal säkerhet Politik). För att göra detta, tryck på menyn Start => Administrativa verktyg => Lokal säkerhetspolicy.

I fönstret som visas högerklickar du på grenen "IP-säkerhetspolicy på lokal dator» (IP-säkerhetspolicyer på lokal dator). Välj från snabbmenyn "Lägg till säkerhetspolicy" (Skapa säkerhetspolicy).

Guiden Ny säkerhetspolicy startar. Klick "Ytterligare" (Nästa).

I nästa steg anger du ett namn för den nya policyn. Till exempel "Blockera oönskade IP-adresser". Beskrivning är valfri. Klick "Ytterligare" (Nästa).

Sedan ta av alternativ "Aktivera standardregel" (Aktivera standardsvarsregeln) och tryck på "Ytterligare" (Nästa).

På sista steget lämna allt som det är och klicka på knappen "Redo" (Avsluta).

Egenskapsfönstret för den skapade policyn öppnas. På fliken "Regler" (regler), avmarkera alternativet "Använd Master" (Använd Add Wizard) och klicka på knappen "Lägg till" (Lägg till).

Ett fönster visas "Nya regelalternativ" (Nya regelegenskaper). På fliken "IP-adressfilter" (IP-filterlista) klicka på knappen "Lägg till" (Lägg till).

I fönstret som visas, i fältet "Namn" (namn) ange namnet på gruppen av blockerade IP-adresser. Till exempel: "Attackblock". Ta bort alternativ "Använd Master" (Använd Add Wizard) och klicka på knappen "Lägg till" (Lägg till).

I fönstret IP-filteregenskaper, på fliken "Adresser" (Adresser) I kapitel "Källa" (Käll adress) lämna "Min IP-adress" (Min IP-adress).

I kapitel "Destination" (Destinationsadress) Välj "Specifik IP-adress" (En specifik IP-adress) eller "Subnät" (Ett specifikt IP-undernät) och ange den eller de IP-adresser som du vill neka åtkomst till servern.

alternativ "Spegel" (speglad) lämna aktiverat.

På fliken "Protokoll" (Protokoll), kan du välja det protokoll som filtret ska gälla för. Som standard kommer filtret att användas för alla protokoll.

På fliken "Beskrivning" (Beskrivning) kan du ange en filterbeskrivning. Denna beskrivning kommer att användas i filterlistan för att göra det lättare för dig att hitta filtret senare. Det är bäst att ange den blockerande IP-adressen som en beskrivning.

Klicka på knappen Ok för att skapa ett filter. Du kommer tillbaka till fönstret "Lista över IP-filter" (IP-filterlista), som visar filtret du just skapade.

Klicka på knappen Ok för att stänga listan med IP-filter. Du kommer tillbaka till fönstret "Nya regelalternativ" (Nya regelegenskaper). Listan med IP-filterlistor som du just skapat kommer att visas i listan med IP-filterlistor. Välj det.

Gå till fliken "Åtgärder" (Filteråtgärd). Ta bort alternativ "Använd Master" (Använd Add Wizard) och klicka på knappen "Lägg till" (Lägg till).

I fönstret som visas, på fliken "Skydd" (Säkerhetsmetoder) ställ in alternativet "Blockera" (blockera).

Gå till fliken "Allmän" (Allmän) och i fält "Namn" (namn) ange ett namn för åtgärden. Till exempel: "Blockera".

Klicka på knappen Ok. Den nyskapade åtgärden visas i listan över åtgärder. Välj det.

Klicka på knappen Ok.

Allt, politiken skapas. För att aktivera det, högerklicka på policynamnet och välj från snabbmenyn "Aktivera" (Tilldela).

På samma sätt kan du inaktivera den skapade policyn via snabbmenyn.

I egenskaperna för den skapade policyn kan du enkelt lägga till oönskade IP-adresser.

Du kan ansluta din dator till servern via Internet med VPN (Virtual Private Network). Detta gör att du kan distribuera resurserna i fjärrnätverket korrekt, samt konfigurera servern i rätt ordning.

Instruktion

Ställ in Windows för att ansluta till servern korrekt. Vanligtvis den programvara som krävs för skapa ett VPN, som ingår i operativsystemet Windows Server. Det är bättre att installera det för att inte köpa någon ytterligare nätverksutrustning.

Starta Windows Server och klicka på Start-knappen, välj Program, Administrativa verktyg och Serverkonfigurationsguiden. Öppna " Fjärråtkomst/ VPN-Nord" i listan över tjänster.

Klicka på cirkeln till vänster om Virtual Private VPN-nätverk och NAT. Välj nätverkskortet som ansluter datorn till Internet, om tillgängligt.

Välj alternativet för att automatiskt tilldela en IP-adress. Ange "Nej, använd routing och fjärråtkomst för att autentisera anslutningsbegäranden" för att gå till sidan "Hantera flera fjärråtkomstservrar".

Klicka på "Start", välj "Program", "Administrativa verktyg" och öppna " Aktiva användare och datorer. Gå till avsnittet "Fjärråtkomst" och gå till fliken "Egenskaper". Ange "Tillåt åtkomst" för var och en av de användare som du vill ge åtkomst till servern via VPN.

Navigera till namnet på den dator du vill ansluta till servern över internet. Tryck på "Start", öppna "Kontrollpanelen", sedan "Nätverk och Internet", "Nätverk och växlingscenter" och "Konfigurera en ny anslutning eller nätverk".

Välj Workplace Connection, Use My Internet Connection och ange IP-adressen till routern som servern ska anslutas till. För att ta reda på den här adressen, öppna routerns konfigurationssida.

Ange användarnamn och lösenord för konto genom vilken VPN nås. Använd en VPN-anslutning för att ansluta till servern.

Betygsätt denna artikel!

Proceduren för att öppna åtkomst till servern innebär att man beviljar åtkomst till den valda nätverksmappen eller delar mappen. Problemet löst standardmedel Windows OS och kräver inga ytterligare programvara. I det här fallet övervägs Windows Server 2003.

Instruktion

ring huvudet systemmenyn genom att klicka på Start-knappen och gå till Alla program. Expandera länken "Standard" och starta " Windows utforskaren". Hitta mappen som du vill ge åtkomst till och öppna dess snabbmeny genom att klicka med höger musknapp. Välj objektet "Egenskaper" och använd kryssrutan på raden "Öppna allmän tillgång till den här mappen" dialogrutan som visas.

Skriv önskat namn på det skapade nätverksresurs i raden "Dela" och använd kryssrutan i raden "Maximalt tillåtet" i avsnittet "Användargräns". Klicka på knappen "Behörigheter" för att lägga till användare som kommer åt den valda mappen och använd kommandot "Lägg till". Välj önskad användare från listan i den nya dialogrutan och använd kryssrutan för att definiera åtkomsträttigheter:

Full tillgång;
- förändra;
- läsning.

Bekräfta ditt val genom att trycka på OK-knappen.

Var uppmärksam på möjligheten till avancerade inställningar för åtkomstbehörigheter när du klickar på knappen "Avancerat". Avmarkera raden "Tillåt arv ...", för annars kommer den valda användaren att få rättigheter från en högre nivå (vanligtvis från en disk där "Read Only" är inställt som standard för alla). Använd kryssrutan i raden "Ersätt behörigheter" och bekräfta att ändringarna har sparats genom att klicka på knappen "Använd". Tänk på att tiden det kan ta för rättighetstilldelningsprocessen att äga rum inte beror på storleken, utan på antalet filer i mappen. Därför kan det ta ganska lång tid. Vänta tills processen är klar och upprepa proceduren ovan för varje användare eller användargrupp som du vill ge åtkomst till servern.

Endast ett fåtal användare vet att det är möjligt att installera ett hemnätverk på ett sådant sätt att alla datorer som ingår i det kan komma åt Internet utan att köpa dyr utrustning.

Du kommer behöva

- Nätverkskort;
- nätverkskabel.

Instruktion

Välj först en dator som ska vara direkt ansluten till Internet. I det här fallet har det operativ system Windows Vista. Om den här datorn bara har en nätverksadapter, köp ett andra nätverkskort. Det kommer att krävas för att ansluta två datorer till ett lokalt nätverk.

Köp en nätverkskabel av rätt längd. Koppla ihop det med varandra nätverkskort båda datorerna. Anslut leverantörens kabel till den andra nätverksadaptern på den valda datorn. I det här fallet är metoden för att komma åt Internet (via en LAN-port eller ett DSL-modem) helt irrelevant.

Slå på den första datorn. Öppna listan över tillgängliga nätverkskopplingar. Välj nätverksadaptern som är ansluten till den andra datorn. Öppna dess egenskaper. Välj "Internet Protocol TCP/IPv4". Klicka på knappen Egenskaper. Markera alternativet Använd följande IP-adress. Ställ in IP-värdet för detta nätverksadapter, lika med 25.25.25.1.

Konfigurera en Internetanslutning om den här åtgärden ännu inte har slutförts. Gå till egenskaperna för denna anslutning. Välj fliken "Åtkomst". Leta efter "Tillåt datorer att använda denna internetanslutning" lokalt nätverk". Ange nätverket som dina två datorer bildar. Spara dina inställningar.

Slå på den andra datorn. Öppna listan över tillgängliga nätverksanslutningar. Navigera till egenskaperna för TCP/IPv4-protokollet. Om den andra datorn kör Windows XP behöver du TCP/IP-protokollet.

Aktivera alternativet "Använd följande IP-adress". Ange dess värde lika med 25.25.25.5. Tryck på Tab-tangenten för att få subnätmasken automatiskt. Hitta objekten "Default Gateway" och "Preferred DNS Server". Fyll i dem med IP-adressen för den första datorn. Spara dina nätverksinställningar.

Låt oss säga att du konfigurerar och allt fungerar bra från det externa nätverket. Men ibland kan det vara nödvändigt att organisera åtkomst till en dator eller server med hjälp av en extern IP-adress, inte bara utifrån utan också från det lokala nätverket. I det här fallet används den så kallade Hairpin NAT eller NAT LoopBack - ta emot och skicka paket genom samma routergränssnitt, med ändring av adresser från lokal till extern och vice versa. Låt oss analysera de nödvändiga inställningarna.

Låt oss säga att vi har:

Router med extern IP (WAN IP) 1.1.1.1.
En dator med en lokal adress 192.168.88.229 och en server, applikation etc. som körs på den för åtkomst från ett externt nätverk. I vårt fall används port 8080 för anslutningen.
En dator i det lokala nätverket med adressen 192.168.88.110.

Vi har redan en konfigurerad portvidarebefordranregel 8080:

Men det kommer inte att fungera när det nås från det lokala området, eftersom inställningarna är fokuserade på paket från det externa nätverket, via WAN-porten. Därför måste vi lägga till ytterligare 2 regler.

Konfigurera åtkomst från det lokala nätverket med hjälp av en extern IP-adress

1. Skapa en regel för omdirigering av förfrågningar via extern IP från det lokala nätverket.

Fliken Allmänt.

Kedja- dstnat.

src. adress- vi skriver här den lokala adressen till den dator från vilken vi kommer att logga in via extern IP, eller ett antal adresser om sådan åtkomst behöver ges till flera datorer i nätverket.

Dst. adress- ange den externa adressen till datorn/servern, etc., som kommer att nås från det lokala området.

protokoll, dst. hamn- här föreskriver vi port- och protokollparametrarna som motsvarar vår anslutning (samma som vid portforwarding).

Fliken Åtgärd.

Till adresser- vi anger den lokala adressen till vår server, datorn som vi kommer åt med hjälp av den externa IP-adressen.

Till hamnar- porten är densamma som på föregående flik, så du kan inte lämna något här.

Nu kan du gå till datorn 192.168.88.229från det lokala nätverketav extern IP-adress 1.1.1.1.

Men när du försöker interagera med honom händer ingenting. Varför? Vi får se vad som händer.

Vår dator (192.168.88.110) skickar ett paket till serverns externa adress, vilket också är routerns adress - 1.1.1.1.
Routern omdirigerar den troget enligt vår dst-nat-regel till en dator med adressen 192.168.88.229.
Han accepterar det och skickar ett svar. Men eftersom den ser den lokala IP-adressen som källadress (paketet kom trots allt från en dator på det lokala nätverket) skickar den svaret inte till routern, utan direkt till mottagaren.
Mottagaren (192.168.88.10) skickar data över den externa IP:n, och svaret förväntas också från den externa IP:n. Efter att ha mottagit ett paket från den lokala 192.168.88.229, kasserar den helt enkelt det som onödigt.

Därför behöver vi en annan regel som kommer att ersätta den lokala källadressen när ett paket skickas till en extern IP.

2. Vi ersätter datorns lokala adress med en extern IP-adress.

På fliken Åtgärd, ställ in maskerad, d.v.s. ändra källadressen till routerns lokala adress.

På fliken Allmänt anger vi reglerna under vilka det kommer att tillämpas:

Kedja- srcnat, dvs för förfrågningar från det lokala nätverket.

src. adress- vi skriver här datorns lokala adress, eller intervallet av adresser från vilka paket kommer att skickas.

Dst. adress- här anger vi "mottagarens adress", dvs regeln kommer endast att tillämpas för paket adresserade till vår server.

protokoll, dst. hamn- här föreskriver vi samma port- och protokollparametrar.

Nu, efter att ha tagit emot ett paket från det lokala nätverket adresserat till den externa IP 1.1.1.1, kommer routern inte bara att omdirigera det till 192.168.88.229 (enligt den första regeln), utan även ersätta källadressen (192.168.88.110) i paketet med dess lokala adress.

Svaret från servern kommer därför inte att skickas direkt till det lokala nätverket, utan till routern, som i sin tur vidarebefordrar det till källan.

Andra sättet Hårnål NAT MikroTik: 2 regler istället för 3

Du kan göra det ännu enklare genom att ersätta regeln för portvidarebefordran med den första NAT-regeln för hårnål. I det här fallet behöver du inte ange In i inställningarna. Gränssnitt och Src-adress, men du måste skriva destinationsadressen.

Åtkomst till den externa IP-adressen för din server eller dator med applikationen kommer att vara öppen både för samtal utifrån och från det lokala nätverket, från alla adresser, men endast för paket med destinationsadressen 1.1.1.1:80.

Lägg nu till srcnat-regeln som beskrivs ovan, och det är allt. Du kan lägga till ytterligare filtrering genom att ange i ut-gränssnittet gränssnittet från vilket paket ska skickas, om det behövs.

Nackdelen med Hairpin NAT är bara att belastningen på routern ökar, eftersom de samtal som tidigare gick via det lokala nätverket direkt mellan datorer nu går via routern.

Den andra metoden är enklare, men beroende på din nätverkskonfiguration kan den första också användas.

UPD: vi testade konfigurationsmetoderna som beskrivs i den här artikeln igen med ett exempel, samt inställningen som föreslås i kommentarerna. Alla jobbar.

hemsida