Como Configurar DNAT no MikroTik Passo a Passo Seguro

Deixe um comentário / Dicas para sua empresa, Serviços JFS TI, Tecnologia, Tutoriais / Por

Como Configurar DNAT no MikroTik Passo a Passo

Aprenda a expor serviços internos com segurança por meio de tradução de endereços de rede no MikroTik RouterOS.

O que Você Precisa

  1. Roteador MikroTik com RouterOS atualizado
  2. Acesso administrativo via Winbox ou SSH
  3. Um IP público (fixo ou dinâmico)
  4. Servidor interno na rede local (ex.: servidor web)
  5. (Opcional) Conta em serviço de DNS dinâmico (DDNS), como DynDNS ou No-IP

O que é DNAT e Por Que Usar no MikroTik?

A tradução de endereços de rede, ou DNAT (Destination Network Address Translation), permite que você direcione solicitações de um endereço IP público para máquinas específicas na sua rede interna. É uma solução essencial para expor serviços como web servers, câmeras IP ou outros recursos internos à internet — tudo com controle e segurança.

Atenção: O uso incorreto do DNAT pode abrir brechas na sua rede! Siga as boas práticas de segurança detalhadas neste tutorial.

Passo 1: Acesse o MikroTik RouterOS

Para iniciar, conecte-se ao seu MikroTik usando Winbox (modo gráfico) ou via SSH (linha de comando):

  1. Winbox: Baixe em mikrotik.com/download, conecte usando o endereço IP do roteador e credenciais de administrador.
  2. SSH: Use um terminal e digite:

    ssh admin@SEU_IP

    Substitua SEU_IP pelo IP local do MikroTik.

Passo 2: Planeje o Cenário

Considere este exemplo:

  1. IP público: 200.200.200.200 (no seu MikroTik)
  2. Servidor interno: 192.168.1.100
  3. Porta de serviço: 80 (HTTP)

Objetivo: Encaminhar pedidos que chegam ao IP público na porta 80 para o servidor web interno.

Passo 3: Crie a Regra de DNAT

Vamos configurar via Winbox, mas os nomes de menus são os mesmos para WebFig ou terminal:

  1. Vá em IP > Firewall > Aba NAT
  2. Clique em “+” para adicionar uma nova regra

Aba General:

  1. Chain: dstnat
  2. Dst. Address: deixe em branco ou insira o IP público
  3. Protocol: tcp
  4. Dst. Port: 80

Aba Action:

  1. Action: dst-nat
  2. To Addresses: 192.168.1.100
  3. To Ports: 80

Clique em OK para aplicar.

Exemplo em CLI:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.100 to-ports=80

Passo 4: Teste a Configuração

  1. Do exterior, tente acessar seu IP público:
    ex: http://200.200.200.200
    (ou pelo nome personalizado via DDNS, se já configurado)
  2. Se tudo estiver correto, você verá a página do servidor web interno.

Passo 5: (Opcional) Configure DNS Dinâmico (DDNS)

Se o IP público muda constantemente (internet residencial, por exemplo), utilize DDNS para sempre saber o endereço “externo” correto.

  1. Crie uma conta em um serviço DDNS (No-IP, DynDNS, DuckDNS, etc)
  2. Configure DDNS no MikroTik:

    1. No Winbox vá em IP > Cloud
    2. Marque DDNS Enabled
    3. O endereço com final .sn.mynetname.net será o seu endereço público dinâmico.

Dica: Em serviços externos tipo No-IP, use Scripts ou Clients próprios para atualizar o IP.

Dica de Segurança: O uso de DDNS facilita o acesso remoto, mas exige ainda mais atenção às configurações de firewall.

Passo 6: Aumente a Segurança do DNAT

Ao expor serviços internos, adote práticas essenciais de proteção:

  1. Filtragem de fontes: Crie regras permitindo apenas IPs/clientes confiáveis.
  2. Reduza portas abertas: Só redirecione o necessário. Evite expor portas administrativas (ex.: 8291, 22, 23).
  3. Monitoramento: Ative logs para as regras NAT (em NAT, marque Log) e revise atividades suspeitas.

Exemplo de regra restrita (CLI): 

/ip firewall filter add chain=forward src-address-list=clientes_confiaveis dst-address=192.168.1.100 dst-port=80 protocol=tcp action=accept

Passo 7: Verifique e Monitore o Tráfego

  1. Em IP > Firewall > Aba Connections, monitore conexões chegando ao IP interno.
  2. Opte por ativar o Log da regra para registrar tentativas de acesso.
  3. Considere usar soluções de IDS/IPS para proteção adicional.

Erros Comuns e Como Corrigir

  1. Erro: Não acessa o serviço pelo IP público

    • Solução: Verifique se a porta está aberta do lado ISP e se o NAT não está sendo bloqueado por outro roteador/modem.
  2. Erro: Acesso só dentro da rede local (loopback/NAT Hairpin)

    • Solução: Habilite o recurso NAT hairpin.
      Exemplo:

      /ip firewall nat add chain=srcnat protocol=tcp dst-address=192.168.1.100 dst-port=80 out-interface=bridge-local action=masquerade
  3. Erro: Serviço exposto sem restrição

    • Solução: Use filtros de IP e portas para limitar origens externas.

Atenção: Sempre teste de fora da sua rede ao validar acessos externos.

Conclusão

Com o DNAT configurado no seu MikroTik, é possível expor servidores da rede interna com praticidade — seja um site, câmera ou serviço próprio — sem abrir mão da segurança. Basta seguir estes passos, monitorar e adotar filtros e logs apropriados.

Se precisar de ajuda profissional para configurar ou proteger o seu ambiente, conte com o time JFSTI!

Solicite Suporte Técnico Especializado

Meta Description

Aprenda a configurar DNAT no MikroTik e exponha serviços internos à internet em poucos passos. Tutorial prático com foco em segurança!

Palavras-chave

DNAT MikroTik, tutorial NAT, firewall RouterOS, expor servidor interno, segurança de rede

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima