Mikrotik NAT e Port Forwarding: configurazione

gabriele cordelli consulente tecnico di timenet

Da tempo in Timenet lavoriamo con MikroTilk e la nostra Assistenza Tecnica di casi ne ha visti veramente molti.
Le conversazioni avute a proposito di MikroTik NAT, quindi, ho deciso di riassumerle in questo articolo, andando a vedere che cosa si intende per NAT, cosa per Port Forwarding e come queste configurazioni ci possono tornare utili con alcuni semplici esempi concreti.

gabriele cordelli

Gabriele Cordelli
Consulente Tecnico Timenet

NAT significato: dall’acronimo in poi

Partiamo dall’acronimo, NAT: Network Address Translation.
Impostare una regola di NAT permette di modificare gli indirizzi IP contenuti negli header dei pacchetti dati. Quelli che, ad esempio, girano per Internet portandosi dietro le informazioni.

Pensiamo per esempio a quando vogliamo raggiungere un motore di ricerca dal nostro PC.
Il nostro computer non può presentarsi a Google con l’IP che utilizza nella rete locale, non riceverebbe alcuna risposta.
Il PC si presenterà con il suo indirizzo IP privato al router che, attraverso il NAT, andrà a “tradurre” l’IP contenuto nell’header del pacchetto con l’indirizzo IP pubblico, così da navigare correttamente in internet.

A seconda di cosa vorrò raggiungere e della rete da cui mi presento avrò bisogno di una regola di Source NAT, Destination NAT o Masquerade.

Source NAT: permette di modificare l’IP sorgente del pacchetto (esempio da rete locale a internet)
Destination NAT: permette di modificare l’IP di destinazione del pacchetto (esempio da internet a rete locale)
Masquerade: permette di “tradurre” l’IP nel primo disponibile sull’interfaccia (esempio per navigare da una rete locale a internet in presenza d’IP pubblico dinamico)

Attraverso le regole di NAT possiamo riuscire poi a configurare quello che viene definito Port Forwarding.

Port Forwarding Mikrotik: a cosa serve

Per dirla in termini comprensibili ai più, configurare un Port Forwarding, Mikrotik o meno, permette d’intercettare il traffico dati diretto a un indirizzo IP (a una o più porte) per un determinato protocollo; prenderlo e reindirizzarlo verso un altro IP o una porta differente.

Esempio pratico, quand potrebbe servire il Port Forwarding

Potrei usare un Port Forarding se un mio Cliente mi chiede di configurare il suo Client di posta elettronica e io ho intenzione di farlo usando un desktop remoto.
Utilizzando un desktop remoto, di fatto, vado a collegarmi al suo PC attraverso la porta 3389, passando prima attraverso la rete Internet.

Per poter fare questa azione devo prima di tutto creare una “regola di NAT” sul Mikrotik del Cliente.

Port Forwarding MikroTik: Configurazione

Per creare un Port Forwarding su MikroTik possiamo utilizzare una regola di dst-nat.
Per farlo posso utilizzare sia l’interfaccia grafica via Winbox (scaricabile da sito MikroTik) nella sezione NAT, raggiungibile da IP > Firewall, sia usando i comandi da terminale.

wibox mikrotik nat

Un esempio di configurazione Port Forwarding da terminale

roterOS > ip firewall nat add chain=dstnat dst-address=”IP pubblico di destinazione” src-address=”IP pubblico da cui mi collego” in-interface=”interfaccia WAN o tunnel es. PPPoE” protocol=tcp dst-port=3389 action=dst-nat to-addresses=IP privato computer

mikrotik Nat e port forwarding

Rischi del port Forwarding

Realizzando un Port Forwarding permettiamo di fatto che un dispositivo sia raggiungibile attraverso la rete internet, con la comodità e i rischi che questo comporta.
Ecco perché è importante creare regole di Port Forwarding specificando l’IP sorgente a cui devono essere applicate (src-address) e creare delle regole di Firewall efficaci.

Munirsi degli apparati e del supporto Timenet in questo caso diventa una soluzione perfetta, considerando chebasterà aprire un semplice ticket di Assisntenza Tecnica e la regola di NAT sarà creata da un nostro tecnico specializzato.

NAT MikroTik: peculiarità e attenzioni

MikroTik è un hardware a uso professionale e le possibilità di configurazione, andando anche oltre il NAT MikroTik, sono estremamente elevate. Questo è un grande pro in termini di flessibilità e sicurezza ma dobbiamo fare attenzione ai margini di errore che questo comporta durante le configurazioni.

Su Hardware definibile come “consumer”, è certo più difficile fare danni ma non si possono eseguire configurazioni complesse necessarie per reti business.

Per questi motivi è fondamentale una considerazione: per produrre una rete sicura, è necessario dotarsi di Hardware che permettano una libera configurazione e di professionisti esperti nel farla.

Spero l’articolo ti sia utile.

Se vuoi approfondire i vantaggi delle MikroTik Routerboards ti invitiamo a dare un’occhiata ai buoni motivi per cui le usiamo 🙂
Un saluto,
Gabriele.