Strano problema Port Forwarding

[golber]

Ciao a tutti,

ho un router RB2011 e ho uno strano problema con il setting per il port forwarding, che non riesco a far funzionare.
Ho un MacBookPro con il firewall disattivato, connessione internet pppoe impostata come interfaccia sulla porta eth10 (nome interfaccia: pppoe-out).

Ho seguito le istruzioni presenti sul sito mikrotik per abilitare una regola di NAT nel firewal, di tipo dstnat, impostando tutto correttamente:
Protocol: tcp, Dst port: 50000, In interface: pppoe-out; Action: dst-nat, To addresses: 192.168.88.254, To ports: 50000.

Ma se vado su un qualsiasi sito per il check delle porte aperte, la 50000 mi risulta chiusa, premetto che ho provato con altre porte (esempio con la 22).

Descrivo di seguito le prove che ho effettuato:
- Disabilito tutte le regole DROP del firewall -> Check sulla porta 50000-> Risulta chiusa.
- Disabilito tutte le regole DROP del firewall -> Check sulla porta 22 -> OK, risulta aperta.
- Disabilito tutte le regole DROP del firewall -> Creo una regola di NAT per il forwarding della porta 22 come descritto sopra -> Check sulla porta 22 -> Risulta chiusa.


Secondo voi che può essere?
Il fatto che la 22 risulta aperta disabilitando il firewall è strano, se dipendesse dal PC, dovrebbe funzionare anche con la regola dstnat, invece no.

Ho anche ripristinato le impostaz di fabbrica, ma nulla.

Vi ringrazio, vi prego di aiutarmi.

Un saluto

[golber]

Ah dimenticavo...

le porte quando abilito la regola di NAT "dst-nat" sono CLOSED e non STEALTH.
Mentre se levo la regola, quindi lascio attivo il firewall su quella porta, risoltano STEALTH (come è corretto che sia).

Perchè con la regola non diventano OPEN, che quello che voglio fare???

[xanio]

magari se fai un export della config vediamo un po cosa è successo

[golber]

Ciao ragazzi, ho avuto un problema con la connessione e non mi funzionava neanche internet, figuriamoci il firewall.

Comunque prima di postare le config (io penso che il router sia ok, e che ci sia un qualche altro tipo di problema, ad esempio porte chiuse sul PC, anche se il firewall del pc è disattivo..., dato che ho ripristinato le imp di fabbrica del router già diverse volte, con il medesimo risultato), posto una foto dell'utility network del Mac, che mostra tutte le porte aperte da 0 a 10.000...
Stano no che siano aperte solo queste?

[golber]

Altra info strana... ho fatto la seguente ricerca su google:
mac aperte solo porte 21 22 23 53 80 2000 8291 8728 8729

e mi è comparsa la seguente pagina: http://wiki.mikrotik.com/wiki/Manual:IP/Services
vi viene in mente qualche collegamento?

[golber]

Cmq ecco l'export:

Codice: Seleziona tutto

# nov/27/2014 01:57:04 by RouterOS 6.22
# software id = BL3W-0ZKU
#
/interface bridge
add admin-mac=4C:5E:0C:BC:D0:16 auto-mac=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether10 ] name=ether10-gateway-poe
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=\
    20/40mhz-ht-above disabled=no distance=indoors l2mtu=2290 mode=ap-bridge \
    name=wlan1 ssid=Family wireless-protocol=802.11
/ip neighbor discovery
set ether1-gateway discover=no
/interface wireless security-profiles
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=default
/port
set 0 name=serial0
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 \
    default-route-distance=1 dial-on-demand=no disabled=no interface=\
    ether10-gateway-poe keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=\
    disabled name=pppoe-out password=xxxxxxx profile=default service-name="" \
    use-peer-dns=yes user=xxxxxx
/system logging action
set 2 remember=yes
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=sfp1
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=ether2 \
    network=192.168.88.0
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,4.4.4.4
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" disabled=yes \
    in-interface=pppoe-out
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=pppoe-out
/ip upnp
set allow-disable-external-interface=no
/lcd
set backlight-timeout=30s
/lcd interface pages
set 0 interfaces="sfp1,ether1-gateway,ether2,ether3,ether4,ether5,ether6,ether\
    7,ether8,ether9,ether10-gateway-poe"
/snmp
set trap-community=public
/system clock manual
set time-zone=+01:00
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6
add interface=ether7
add interface=ether8
add interface=ether9
add interface=ether10-gateway-poe
add interface=sfp1
add interface=family-wlan
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6
add interface=ether7
add interface=ether8
add interface=ether9
add interface=ether10-gateway-poe
add interface=sfp1
add interface=wlan1
add interface=bridge-local


[xanio]

MI sa che non hai aperto nessuna porta, non vedo regole di NAT (apparte il masquarade), quindi è giusto che facendo il test ti vengano mostrate aperte SOLO LE PORTE dei servizi presenti su RouterOS.

Applica la regola di NAT.