Proxy Em mesma Rede Não paralelo Ajuda

Pessoal,

muito boa tarde mais uma vez.

Bom, depois de algum tempo comecei e entender a rede onde trabalho, a qual está muito bagunçada.. e preciso de uma ajuda pra resolver algumas coisas que realmente não estou conseguindo entender.

Basicamente preciso direcionar todo o trafego de todas as redes para um Servidor Proxy. 192.168.10.252:5128

Em um ambiente virtual estou com a seguinte estrutura, sendo essa baseado na real. (quem me dera fosse paralelo, seria muito mais simples)


Bom pra simular na MV tenho uma Placa trazendo o LINK e um outra placa sendo o CLIENTE.

Cliente: 192.168.10.0/24
PROXY: 192.168.10.252

obs¹: Sim o proxy está numa mesma rede;
obs²:haverão outras redes neste cenário, mas preciso entender isso. Na RB atual (Real),está funcionando isso, mas tem tanta regra com canal renomeado que fica difícil entender.

Quais regras coloco no Mikrotik, para que toda requisição passe primeiro pelo squid?


neste caso, o Proxy na mesma rede dos clientes.

como fazer essa regra? fazendo com que o squid bloqueie o que for necessário

Regra de redirecionamento, tudo oque tiver origem diferente do IP do proxy, seja redirecionado para ele.

Chain: dstnat, srcadress !192.168.10.252, action: dst-nat to 192.168.10.253 port: 5128.

Citação:

---

Postado originalmente por berghetti

Regra de redirecionamento, tudo oque tiver origem diferente do IP do proxy, seja redirecionado para ele.

Chain: dstnat, srcadress !192.168.10.252, action: dst-nat to 192.168.10.253 port: 5128.

---

então ficaria dessa forma berghetti?

Citação:

---

0 ;;; MASCARAMENTO INTERNET
chain=srcnat action=masquerade


1 ;;; REDIRECIONAR PROXY
chain=dstnat action=dst-nat to-addresses=192.168.10.254 to-ports=5128
protocol=tcp src-address=!192.168.10.254 dst-port=80

---

A regra até funcionou, mas nos logs do squid está saindo pelo gateway que está configurado na RB no caso 192.168.10.1, e não os endereços dos clientes.

alguma sugestão?

Na sua regra de NAT especifique a interface de saída para a internet em out interface.

Citação:

---

Postado originalmente por berghetti

Na sua regra de NAT especifique a interface de saída para a internet em out interface.

---

isso mesmo, tinha feito e conseguido aqui.. no mais obrigado pela atenção.

Blz, não esquece minha estrela :p

sem problemas.

Berghetti, tudo bem?

Rapaz, eu fui refazer novamente num ambiente virtual usando exatamente as mesmas regras, mas não está funcionando..pode me dar uma forcinha?

amanhã estarei postando as regras aqui novamente...

JURO, não consigo entender rsrs..funcionou na ultima tentativa, mas agora nao vai nem lascando.

Posta aí, até onde eu conseguir ajudo sim ;)

Citação:

---

Postado originalmente por berghetti

Posta aí, até onde eu conseguir ajudo sim ;)

---

Veja:

resolvi fazer novamente para ter certeza, porque faremos uma mudança na Rede aqui, e não posso demorar muito.

Essas são as regras:

Citação:

---

0 ;;; MASCARAMENTO INTERNET
chain=srcnat action=masquerade out-interface=ether1

1 ;;; REDIRECIONAR PROXY TRANSPARENTE
chain=dstnat action=dst-nat to-addresses=192.168.10.253 to-ports=5128
protocol=tcp src-address=!192.168.10.253 dst-port=80

---

no caso ai o proxy está no 192.168.10.253, esse teste ainda é em um ambiente virtual...

estranho é que só esta navegando com o proxy no navegador.
Quando eu removo a eth1 do mascaramento (interface da internet), ele navega transparente, mas ele sempre sai pelo gateway do Mikrotik.

Antes era ambiente virtual também?

sim, era ambiente virtual.

Então, a questão de funcionar so com o proxy no navegador é config do proxy, mas eu achei estranho que você falou que quando tira a interface de saída do NAT ele funciona mas sem passar pelo proxy.

Você não criou a rota no proxy apontando pro MK?

Citação:

---

Postado originalmente por berghetti

Então, a questão de funcionar so com o proxy no navegador é config do proxy, mas eu achei estranho que você falou que quando tira a interface de saída do NAT ele funciona mas sem passar pelo proxy.

Você não criou a rota no proxy apontando pro MK?

---

sim, está para proxy transparente...
mas realmente era a questão da rota no linux? no outro exemplo que tinha feito..havia feito essas rotas.. mas tinha removido. por isso não imaginei que fosse isso..

séria essa rota no proxy?

Citação:

---

route add -net 192.168.10.0 netmask 255.255.255.0 gw 192.168.10.1

---

Rota default apontado pro MK, 0.0.0.0/0 192.168.10.1( se esse for o IP do MK)

@berghetti

bom, na rede mesmo funcionou.. mas como havia comentando haveriam outras redes. porém não está funcionando... o proxy tenho que colocar uma rota pra cada rede?

Como o proxy só tem um caminho pra ir, que é o mikrotik, pode criar uma rota default apontando para o mikrotik.

Citação:

---

Postado originalmente por berghetti

Como o proxy só tem um caminho pra ir, que é o mikrotik, pode criar uma rota default apontando para o mikrotik.

---

Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
0.0.0.0 172.16.0.1 255.255.255.255 UGH 0 0 0 eth0
172.16.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 172.16.0.1 0.0.0.0 UG 0 0 0 eth0

Citação:

---

route add 0.0.0.0/0 gw 172.16.0.1

---

séria essa rota, correto?

Isso, só que em vez de ser o IP 172.16.0.1, seria o IP do MK da mesma faixa do proxy. ( não era 192.168......?)

Citação:

---

Postado originalmente por berghetti

Isso, só que em vez de ser o IP 172.16.0.1, seria o IP do MK da mesma faixa do proxy. ( não era 192.168......?)

---

esse já é o ambiente real... o proxy está com o ip 172.16.0.170, meu gateway é 172.16.0.1.. tudo nesta faixa de endereço está funcionando perfeitamente..

mas tenho mais 3 redes para adicinar, mas não está funcionando quando habilito a regra do proxy.

Citação:

---

Postado originalmente por berghetti

Isso, só que em vez de ser o IP 172.16.0.1, seria o IP do MK da mesma faixa do proxy. ( não era 192.168......?)

---

esse já é o ambiente real... o proxy está com o ip 172.16.0.170, meu gateway é 172.16.0.1.. tudo nesta faixa de endereço está funcionando perfeitamente..

mas tenho mais 3 redes para adicinar, mas não está funcionando quando habilito a regra do proxy.

você consegue pingar de uma maquina que está em outra faixa no proxy?

@berghetti ,

rapaz, aparentemente conseguir resolver de uma forma um pouco estranha..

assim que eu tiver plena certeza posto aqui pra tu ver.

obrigado por enquanto.

@berghetti ,

veja o cenário... está funcionando bem até agora.. redirecionando tudo beleza.

Veja essa questão:

Tenho dois Links. Em ambos fiz o mascaramento, porém vi um problema .. somente no link padrão está acontecendo o redirecionamento.

Quando coloco alguém pra navegar pelo link2 acontece que só navega de estiver passando fora do proxy, alguma sugestão?


veja as regras abaixo:

LINK1 = KONNET
LINK2 = GVT

obs: Lembra quando disse que resolvi de uma forma estranha.. colocando esse mascaramento funcionou.

Código :

---

/ip firewall nat
add action=masquerade chain=srcnat comment="MASCARAMENTO KONNET" disabled=no \
    out-interface=ether1
add action=masquerade chain=srcnat comment="MASCARAMENTO GVT" disabled=no \
    out-interface=ether9
add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\
    no protocol=tcp src-address-list=REDES
add action=accept chain=dstnat comment=\
    "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \
    src-address=!172.16.0.180
add action=dst-nat chain=dstnat comment="REDIRECIONAR PARA O PROXY" disabled=\
    no dst-port=80 protocol=tcp src-address=!172.16.0.170 to-addresses=\
    172.16.0.170 to-ports=5128

---

opa, então, não entendi esses dois mascaramento, o que está como "PASSAR FORA DO PROXY" está conflitando com a regra "REDIRECIONAR PARA O PROXY", se a intenção foi adicionar um exceção para algum Ip, poderia fazer na propria regra do redirecionamento. se não foi essa a intenção, diz ai...

Citação:

---

add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\
no protocol=tcp src-address-list=REDESadd action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.180

---

quanto a questão de navegar pelo segundo link, você fez as marcações no mangle de quem você quer que saia pelo segundo link e criou as rotas? (se colocar o segundo como principal navega?, se sim é só fazer as marcações)

e quanto a regra "MASCARAMENTO DAS REDES", se faz necessária? pois oque ela vai fazer é, quando um PC for acessar outro de rede diferente a conexão vai ser mascarada (se está funcionando só por causa dessa regra, da um conferi em todos os hosts se estão com as devidas rotas certinho).

Citação:

---

Postado originalmente por berghetti

opa, então, não entendi esses dois mascaramento, o que está como "PASSAR FORA DO PROXY" está conflitando com a regra "REDIRECIONAR PARA O PROXY", se a intenção foi adicionar um exceção para algum Ip, poderia fazer na propria regra do redirecionamento. se não foi essa a intenção, diz ai...



quanto a questão de navegar pelo segundo link, você fez as marcações no mangle de quem você quer que saia pelo segundo link e criou as rotas? (se colocar o segundo como principal navega?, se sim é só fazer as marcações)


e quanto a regra "MASCARAMENTO DAS REDES", se faz necessária? pois oque ela vai fazer é, quando um PC for acessar outro de rede diferente a conexão vai ser mascarada (se está funcionando só por causa dessa regra, da um conferi em todos os hosts se estão com as devidas rotas certinho).

---

Vou tentar te explicar e postar aqui.

Código :

---

 
1 - /ip firewall natadd action=masquerade chain=srcnat comment="MASCARAMENTO KONNET" disabled=no \ out-interface=ether1
 
2 - add action=masquerade chain=srcnat comment="MASCARAMENTO GVT" disabled=no \ out-interface=ether9
 
3- add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\ no protocol=tcp src-address-list=REDES
 
4 - add action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.180
 
5- add action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.1805- add action=dst-nat chain=dstnat comment="REDIRECIONAR PARA O PROXY" disabled=\ no dst-port=80 protocol=tcp src-address=!172.16.0.170 to-addresses=\ 172.16.0.170 to-ports=5128

---

1- Mascaramento Link1
2- Mascaramento Link2
3- Mascaramento das Redes daqui. (Só está navegando por causa desse mascaramento, vou postar as rotas no linux)
4- Essa regra é mais por organização, tendo em vista que não sou o único que trabalha na rede aqui, tudo nela passa fora do proxy.. exceto esse host 172.16.0.180 que é o meu, onde estou fazendo os testes, consigo o bloqueio da minha maquina com esse detalhe na regra já liberando outros.
5- o Redirecionamento para o Proxy

Código :

---

Tabela de Roteamento IP do Kernel
Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface
0.0.0.0          172.16.0.1     255.255.255.255    UGH   0      0        0  eth0
172.16.0.0     0.0.0.0          255.255.0.0           U       0      0        0  eth0
0.0.0.0         172.16.0.1      0.0.0.0                  UG     0      0        0  eth0

---

Nessa terceira rota não está dizendo que qualquer rede deve sair pelo gateway 172.16.0.1 ?

Rotas e Mangle:


Fiz as rotas e marcações sim; e quando coloca o meu host pra navegar pelo Link2 ele navega, mas só se estiver passando fora do proxy.


Quando desabilito o Link1, todos navegam pelo Link2, ai sim o bloqueio acontece.
Mas se quero alguma rede ou alguém navegue pelo Link2, só consegue se eu o fizer por fora do proxy.
Se houver alguma coisa errada me fala que eu ajusto.


no log do squid consta o host e não o gateway.

Então seus problemas estão quase resolvidos rsrs.

Só falta funcionar o segundo link.

Me diz uma coisa, até porque não tenho experiência com proxy, quando um cliente passa pelo proxy e depois volta pro mikrotik, qual o IP chega no mikrotik, o IP do usuário ou o IP do proxy? ( veja em firewall connection, imagino que seja o IP do usuário, mas se puder me confirma)

Aí em mangle você faz a marcação com a chain prerouting, src adres= IP do usuário action = Mark routing.

Depois em IP>route você cria uma rota com essa marcação, tendo o gateway o link 2.

@berghetti ,

sim brother.. no Mikrotik aparecem os endereços dos usuários..

marcações no mangle já está feita.. e nas rotas também.

mangle:

Código :

---

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\
    "LINK GVT" passthrough=no protocol=tcp src-address=172.16.0.180

---

Código :

---

/ip route
add comment="NAVEGARPELO LINK DA GVT" disabled=no distance=1 dst-address=\
    0.0.0.0/0 gateway=192.168.25.1 routing-mark="LINK GVT" scope=30 \
    target-scope=10

---

Só falta realmente fazer com que passe no proxy quem estiver navegando por este link.

lembrando que isso acima só "funciona/navega" se o host estiver passando fora do proxy, e este é o problema.
ele tem que passar pelo proxy, é algum detalhe passando batido ai.

bom, as regas que te mostrei até agora estão corretas, certo?

Então @Pedroh, a princípio está certo, só aquela regra de mascaramento das redes que acho estranho.

Quanto ao segundo link, antes dessa regra que você mostrou do mangle, crie outra e deixe acima dessa, crie essa regra:

Action aceept src adres = seu ip, dst adrres = IP do proxy

Criei a regra, mas mesmo assim não navega.

As regras de mascaramento das redes acho estranho também, mas está funcionando..sem ela não navega.

Você deixou a regra de aceept acima da regra de rout-mark?

Citação:

---

Postado originalmente por berghetti

Você deixou a regra de aceept acima da regra de rout-mark?

---

exatamente.

Anexo 61076

Citação:

---

Postado originalmente por berghetti

Você deixou a regra de aceept acima da regra de rout-mark?

---

fiz da outra forma também colocando meu host em src address.
exatamente.

Anexo 61076

Coloca todas as suas redes em uma regra de aceept, e retire essa regra de NAT "mascaramento das redes"

@berghetti,

fala brother...
seguinte,

lembra daquela mascaramento que você não entendia???? pois bem removi ela...
porém a unica coisa que percebi é que a rota que precisava ser feita é essa:
sem essa rota não funcionava MESMO.
Ok até aqui.

route add -net 172.16.0.0 netmask 255.255.0.0 gw 172.16.0.1

Largando aquele problema do segundo link que te falei, consto esse aqui.

Anexo 61172

percebi que estão havendo muitas requisições soberbas, veja que as redes em si estão passando pelo proxy, porém essas requisições estão um tanto quanto estranhas, e a maioria deles quando vou verificar é se sites chineses japoneses..

como devo proceder com o firewall no MK, tendo vista que o proxy busca tudo pelo mikrotik?

só bloquear a porta 5128 (que é a que você usa para escutar no proxy) vindo da interface de internet.

Citação:

---

;;; Bloqueia Acesso Externo Proxy
chain=input action=drop connection-state=new protocol=tcp in-interface=ether9 dst-port=5128

---

seria essa a regra néh? já havia feito.. vou ficar em observação.

isso, faça em na cadeia forward também, e não esqueça do outro link que você tem para bloquear por ele tambem.

Citação:

---

Postado originalmente por berghetti

isso, faça em na cadeia forward também, e não esqueça do outro link que você tem para bloquear por ele tambem.

---

então,

a regra não está pegando nenhum pacote.. muito estranho. a regra está como descrito acima.. porém nada..alguma sugestão?