NAT e redirecionamento de portas no Mikrotik

NAT e redirecionamento de portas no Mikrotik

NAT e redirecionamento de portas no Mikrotik são partes relacionadas com o Firewall do RouterOS, como tal, essas opções devem ser configuradas com precaução. No tutorial abaixo vou explicar tudo o que deverá ser configurado para atingir este objetivo. Não siga apenas as instruções, leia o texto para que você realmente entenda o que está fazendo e não corra o risco de perder acesso à RouterBoard caso faça algo errado.

O NAT do Mikrotik funciona de duas maneiras distintas src-nat e dst-nat, ambas para operações bastante diferentes. De forma resumida: src-nat serve para modificar o endereço da origem (source) no cabeçalho do IP dos pacotes; dst-nat modifica o endereço de destino (destination) no cabeçalho do IP dos pacotes.

Uma utilização comum de src-nat, seria para utilizar a função “masquerade” (mascarar) e permitir que dispositivos dentro de uma rede privada possam sair para a Internet com o endereço IP do equipamento que está fazendo esse tipo de NAT, ou melhor, para economia de endereços IPv4. Já para dst-nat, normalmente utilizamos de forma inversa, ou seja, permitir que determinadas portas sejam redirecionadas da rede pública para determinado endereço IP e porta(s) da rede privada.

Este é um assunto bastante interessante, porém, requer que você tenha pelo menos algum conhecimento sobre redes de computadores para que consiga atingir seu objetivo. Por outro lado, a configuração é tão simples quanto clicar em alguns botões dentro do Winbox (ou no terminal se preferir ou precisar).

Vamos ver as duas formas para criar NAT e redirecionamento de portas no Mikrotik logo abaixo.

NAT Masquerade (src-nat)

Conforme descrito, o src-nat masquerade serve para fazer com que endereços IP da rede privada saiam para a Internet utilizando apenas o IP do roteador que está fazendo o NAT. Basicamente, os computadores clientes fazem a requisição para o roteador; este se encarrega de alterar o IP de origem no cabeçalho do pacote e envia tal requisição para o destino com seu próprio endereço IP. Quando o pacote retornar do seu destino, o roteador saberá para qual endereço IP da sua rede interna deverá entregar o pacote.

Para configurar esse tipo de NAT no Mikrotik, siga os passos abaixo:

Abra o Winbox e acesse “IP” – “Firewall”, em seguida clique na aba “NAT” e no símbolo de + (mais) para adicionar uma nova regra.

Exemplo de configuração de src-nat no Mikrotik

Exemplo de configuração de src-nat no Mikrotik

Conforme a imagem acima, configure da seguinte maneira a aba “General”:

  • Chain = src-nat (obrigatório)
  • Src. Address = Endereço da rede ou IP que deseja mascarar (opcional)
  • Out. Interface = Interface pela qual os pacotes deverão ser enviados

Perceba que os campos “Src. Address” e “Out. Interface” são obrigatórios, porém a não utilização desses campos poderá afetar algumas coisas na sua rede. Por exemplo: deixando o campo “Src. Address” em branco, irá mascarar toda a rede que passar pelo roteador, não importa qual o IP. Isso pode um tipo de NAT útil quando você souber que toda a rede interna deverá ser mascarada, por exemplo, em uma empresa com várias redes privadas separadas. Já para “Out. Interface”, pode ser que algumas redes da sua rede saiam por uma Interface e outras por outra, neste caso, se você não selecionar qual a interface de saída, poderá ter problemas. Este recurso não precisa ser configurado caso o roteador só tenha uma saída para a Internet.

Agora vamos para a aba “Action”:

Ação "Masquerade"

Ação “Masquerade”

Na aba “Action”, selecione a opção “masquerade”, conforme a imagem acima mostra.

Depois de realizar a configuração acima, clique em “OK” e pronto.

src-nat configurado

src-nat configurado

Agora vamos ver como realizar o redirecionamento de portas.

Redirecionamento de portas no Mikrotik(dst-nat)

O dst-nat é utilizado para modificar o endereço de destino do cabeçalho de um pacote. Neste caso, um pacote chega endereçado ao roteador e este se encarregará de reenviar tal pacote para o endereço e porta(s) de um endereço dentro de sua rede interna. Este é o famoso “Redirecionamento de portas” ou “Port forwarding” dos roteadores comuns.

Para configurar o dst-nat, siga os passos abaixo:

Abra o Winbox e acesse “IP” – “Firewall”, em seguida clique na aba “NAT” e no símbolo de + (mais) para adicionar uma nova regra.

Dentro da janela que foi aberta, configure o seguinte:

Configuração de dst-nat

Configuração de dst-nat

Conforme a imagem acima, configure da seguinte maneira:

  • Chain = dst-nat (obrigatório)
  • Protocol = O protocolo que deseja (recomendado)
  • Dst. Port = O número da porta ou range de portas que deseja redirecionar (obrigatório)
  • In. Interface = A Interface pela qual a requisição deverá chegar (opcional)

Perceba que para dst-nat, quanto mais informações você prover para o Mikrotik, melhor. Isso porque se você deixar de configurar o “Protocol”, todos os protocolos serão redirecionados; Se deixar de configurar a porta ou o range de portas, todas as portas serão redirecionadas; In. Interface é recomendado, salvo em casos onde a rede pode vir de apenas uma porta do roteador.

Agora vamos para a aba “Action”.

Aba Action de um dst-nat

Aba Action de um dst-nat

Para a aba “Action”, configure o seguinte:

  • Action = dst-nat
  • To Addresses = O(s) endereço(s) que deseja direcionar os pacotes
  • To ports = A porta ou o range de portas que deseja redirecionar

Obs.: No exemplo acima, estou redirecionando a porta 3306 para um servidor da rede interna. Tal porta é utilizada pelo servidor MySQL.

Vídeo tutorial

O vídeo abaixo é um complemento ao artigo acima:

Link do vídeo: https://www.youtube.com/watch?v=W3VLKBUk2dU

Espero que tenha gostado!