Versão Imprimível
Olá, estou com um problema fiz um servidor para balancear dois link dedicados, o problema é que tem alguns cliente que não nageva e observando o firewall -> Connections o protocolo 17 (udp) que é a por 53 em TCP não established.
Alguém poderia tira esta duvida. Segue anexo a tela..
Att...
Poste as suas regras de "Filter Rules" .
caro interhome, não entende o que quiz dizer quanto a colocar as regras em "Filter Rules" o problema não é filtra a porta 53 e sim minha duvida é quanto por não esta aparecendo no firewall -> Connections o protocolo 17 (udp) que é a por 53 em TCP não established, conforme anexo no inicio do poste.
Att...
o que o interhome disse foi pra vc postar as suas regras de firewall que se encontram em /ip firewall filter, usa o comando export e posta aqui:
/ip firewall filter export
o dns, que responde na porta 53, é UDP e nao TCP, talvez existam regras no seu firewall bloqueando a conexão UDP na porta 53, por isso não estabelece conexão.Citação:
Connections o protocolo 17 (udp) que é a por 53 em TCP não established
Outro possivel problema, é se vc estiver utilizando Load Balance, seu servidor dns do link1 pode não reponder para o link 2!!!
[]'S
Obrigado.Citação:
Postado originalmente por lcmm84
Ola, aqui vai as regras; como que fica a regra para direcionar o DNS para cada link? aqui no meu caso o link é da mesma operadora mais vou colocar um link por este dias da Unotel.
/ip firewall filter
0 X ;;; BLOQUEIO DE DNS REVERSO
chain=forward action=accept content=revb1.balancesuprisull.com.br
1 chain=input action=accept src-address=172.24.0.64/29 in-interface=!ether2
2 chain=input action=accept src-address=172.24.0.64/29 in-interface=!ether3
3 ;;; Regras Firewall prote o
chain=forward action=drop connection-state=invalid
4 chain=forward action=accept connection-state=established
5 chain=forward action=accept connection-state=related
6 X chain=forward action=drop protocol=icmp limit=5,50
7 X chain=forward action=accept protocol=icmp limit=5,50
8 chain=input action=drop content=.SRC
9 ;;; Bloqueia scan via winbox para todos
chain=input action=drop protocol=udp dst-port=5678
10 chain=forward action=accept connection-state=new
/ip firewall nat
0 chain=srcnat action=masquerade out-interface=ether2
1 chain=srcnat action=masquerade out-interface=ether3
2 ;;; Conex o de fora
chain=dstnat action=dst-nat to-addresses=172.24.0.66 to-ports=22 protocol=tcp in-interface=ether3 dst-port=22
3 chain=dstnat action=dst-nat to-addresses=172.24.0.66 to-ports=1881 protocol=tcp in-interface=ether3 dst-port=1881
/ip firewall mangle
0 ;;; HTTPS FORA DO LOADBALACED
chain=prerouting action=accept protocol=tcp in-interface=ether1 dst-port=443
1 ;;; FORA DO LOADBALACED
chain=prerouting action=accept dst-address-list=loopback in-interface=ether1
2 ;;; Filtro Tracert / Traceroute
chain=forward action=change-ttl new-ttl=set:30 protocol=icmp
3 chain=prerouting action=mark-connection new-connection-mark=ether2_conn passthrough=yes in-interface=ether2
4 chain=prerouting action=mark-connection new-connection-mark=ether3_conn passthrough=yes in-interface=ether3
5 chain=output action=mark-routing new-routing-mark=to_ether2 passthrough=yes connection-mark=ether2_conn
6 chain=output action=mark-routing new-routing-mark=to_ether3 passthrough=yes connection-mark=ether3_conn
7 chain=prerouting action=accept dst-address=189.17.228.0/26 in-interface=ether1
8 chain=prerouting action=accept dst-address=201.57.171.16/29 in-interface=ether1
9 chain=prerouting action=mark-connection new-connection-mark=ether2_conn passthrough=yes dst-address-type=!local
in-interface=ether1 per-connection-classifier=both-addresses-and-ports:2/0
10 chain=prerouting action=mark-connection new-connection-mark=ether3_conn passthrough=yes dst-address-type=!local
in-interface=ether1 per-connection-classifier=both-addresses-and-ports:2/1
11 chain=prerouting action=mark-routing new-routing-mark=to_ether2 passthrough=yes in-interface=ether1 connection-mark=ether2_conn
Att...
Amigo sua primeira regra, do dns reverso você não bloqueia o dns reverso com accept e sim com um drop. Troca no seu mk o accept para drop e poste os resultados.