Precisando muito dessa ajuda (redirecionar portas)

[saquasurf]

BOA NOITE A TODOS
Bom pessoal andei olhando muitos topicos mas nenhum deles resolvel meu problema ate porque muito deles quem iniciava pedindo ajuda nao postava o resultado e ficava sempre meio inacabado e os demais nao deram resultado. O problema e o seguinte: tenho uma lan house com mk uso velox com moden em bridge com o mk fazendo o serviço de roteamento uso hotspot com baypased para nao ficar autenticando sempre tenho proxy full . isso e so pra constar . mas vamos la quero colocar um server de cs on , aqui dentro fudo funciona show de bola mas nao apareço para o mundooo. estou postando minhas regras de firewall caso precise de algo mais colocarei tbm. desde ja sou grato a quem poder me ajudar pois teremos uma competiçao entre lans aqui e o serv ficara hospedado em minha lan por motivos de conexao e equipamento



/ ip firewall nat
add chain=srcnat src-address=192.168.200.0/24 action=masquerade comment="masquerade hotspot network" disabled=no
add chain=srcnat out-interface=pppoe-out1 src-address=0.0.0.0/0 dst-address=0.0.0.0/0 action=masquerade comment="" \
disabled=no
add chain=dstnat dst-address=207.46.0.0/16 protocol=tcp action=accept comment="estabeliza o msn" disabled=yes
add chain=dstnat dst-address=64.4.0.0/16 protocol=tcp action=accept comment="" disabled=yes
add chain=dstnat dst-address=65.54.0.0/16 protocol=tcp action=accept comment="" disabled=yes
add chain=pre-hotspot in-interface=internet protocol=tcp dst-port=80 hotspot=auth action=redirect to-ports=6666 \
comment="redirecionamento proxy hotspot" disabled=no
add chain=dstnat in-interface=lan protocol=tcp dst-port=80 action=redirect to-ports=6666 comment="" disabled=no
add chain=dstnat in-interface=internet protocol=tcp dst-port=80 action=redirect to-ports=6666 comment="" disabled=no
add chain=dstnat in-interface=internet dst-address=189.25.89.73 protocol=tcp dst-port=5800 action=dst-nat \
to-addresses=192.168.200.2 to-ports=5800 comment="" disabled=no
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s tcp-established-timeout=30m tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m tcp-syncookie=no
/ ip firewall filter
add chain=input src-address=0.0.0.0/0 dst-address=0.0.0.0/0 action=accept comment="" disabled=no
add chain=output src-address=0.0.0.0/0 dst-address=0.0.0.0/0 action=accept comment="" disabled=no
add chain=output protocol=tcp dst-port=1863 action=accept comment="melhorar msn" disabled=yes
add chain=input protocol=tcp src-port=1863 action=accept comment="" disabled=yes
add chain=input protocol=tcp dst-port=443 action=accept comment="" disabled=yes
add chain=forward protocol=tcp dst-port=443 action=accept comment="" disabled=yes
add chain=input in-interface=internet protocol=tcp dst-port=6666 action=drop comment="boq prox extern" disabled=no
add chain=input protocol=udp dst-port=1080 action=accept comment="" disabled=yes
add chain=input protocol=tcp dst-port=1080 action=accept comment="" disabled=yes
add chain=output protocol=tcp dst-port=1080 action=accept comment="" disabled=yes
add chain=output protocol=udp dst-port=1080 action=accept comment="" disabled=yes
add chain=input protocol=tcp dst-port=6469 action=accept comment="" disabled=no
add chain=output protocol=tcp dst-port=6469 action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=5800-5900 action=accept comment="" disabled=yes
add chain=output protocol=tcp dst-port=5800-5900 action=accept comment="" disabled=yes
add chain=forward protocol=tcp dst-port=5800-5900 action=accept comment="" disabled=yes
/ ip firewall service-port
set ftp ports=21 disabled=no
set tftp ports=69 disabled=no
set irc ports=6667 disabled=no
set h323 disabled=yes
set quake3 disabled=no
set gre disabled=yes
set pptp disabled=yes
[kbca@MikroTik] ip firewall>

o ip que se encontra no momento em que fiz este port e o do dst adress portanto sei que quando reinicio o moden terei que trocalo na regra

[gladstony]

Quais as portas que voce precisa liberar? Ou seja... qual porta o Couter Strike usa para comunicar-se os demais?

Voce já atualizou seu servidor Counter Strike para aparecer na lista de servidores de Counter Strike?

[saquasurf]

Bom dia amigo e obrigado pela resposta , bom a porta e a 27015 mas como pode ver ela nao esta na minha regra pq pensando eu que fosse problema no cs usei a mesma regra para o ultravnc so trocando a porta que no caso e a 5800 e tambem nao funcionou diante disso ve se que e algo na regra concorda? mas o que sera? abraço e fico no aguardo.

[saquasurf]

por favor amigo caso alguem tenha a soluçao passe me esse conhecimento estou precisando . desde ja sou grato

[cgrellier]

BOA NOITE A TODOS
Bom pessoal andei olhando muitos topicos mas nenhum deles resolvel meu problema ate porque muito deles quem iniciava pedindo ajuda nao postava o resultado e ficava sempre meio inacabado e os demais nao deram resultado. O problema e o seguinte: tenho uma lan house com mk uso velox com moden em bridge com o mk fazendo o serviço de roteamento uso hotspot com baypased para nao ficar autenticando sempre tenho proxy full . isso e so pra constar . mas vamos la quero colocar um server de cs on , aqui dentro fudo funciona show de bola mas nao apareço para o mundooo. estou postando minhas regras de firewall caso precise de algo mais colocarei tbm. desde ja sou grato a quem poder me ajudar pois teremos uma competiçao entre lans aqui e o serv ficara hospedado em minha lan por motivos de conexao e equipamento



/ ip firewall nat
add chain=srcnat src-address=192.168.200.0/24 action=masquerade comment="masquerade hotspot network" disabled=no
add chain=srcnat out-interface=pppoe-out1 src-address=0.0.0.0/0 dst-address=0.0.0.0/0 action=masquerade comment="" \
disabled=no
add chain=dstnat dst-address=207.46.0.0/16 protocol=tcp action=accept comment="estabeliza o msn" disabled=yes
add chain=dstnat dst-address=64.4.0.0/16 protocol=tcp action=accept comment="" disabled=yes
add chain=dstnat dst-address=65.54.0.0/16 protocol=tcp action=accept comment="" disabled=yes
add chain=pre-hotspot in-interface=internet protocol=tcp dst-port=80 hotspot=auth action=redirect to-ports=6666 \
comment="redirecionamento proxy hotspot" disabled=no
add chain=dstnat in-interface=lan protocol=tcp dst-port=80 action=redirect to-ports=6666 comment="" disabled=no
add chain=dstnat in-interface=internet protocol=tcp dst-port=80 action=redirect to-ports=6666 comment="" disabled=no
add chain=dstnat in-interface=internet dst-address=189.25.89.73 protocol=tcp dst-port=5800 action=dst-nat \
to-addresses=192.168.200.2 to-ports=5800 comment="" disabled=no
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s tcp-established-timeout=30m tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m tcp-syncookie=no
/ ip firewall filter
add chain=input src-address=0.0.0.0/0 dst-address=0.0.0.0/0 action=accept comment="" disabled=no
add chain=output src-address=0.0.0.0/0 dst-address=0.0.0.0/0 action=accept comment="" disabled=no
add chain=output protocol=tcp dst-port=1863 action=accept comment="melhorar msn" disabled=yes
add chain=input protocol=tcp src-port=1863 action=accept comment="" disabled=yes
add chain=input protocol=tcp dst-port=443 action=accept comment="" disabled=yes
add chain=forward protocol=tcp dst-port=443 action=accept comment="" disabled=yes
add chain=input in-interface=internet protocol=tcp dst-port=6666 action=drop comment="boq prox extern" disabled=no
add chain=input protocol=udp dst-port=1080 action=accept comment="" disabled=yes
add chain=input protocol=tcp dst-port=1080 action=accept comment="" disabled=yes
add chain=output protocol=tcp dst-port=1080 action=accept comment="" disabled=yes
add chain=output protocol=udp dst-port=1080 action=accept comment="" disabled=yes
add chain=input protocol=tcp dst-port=6469 action=accept comment="" disabled=no
add chain=output protocol=tcp dst-port=6469 action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=5800-5900 action=accept comment="" disabled=yes
add chain=output protocol=tcp dst-port=5800-5900 action=accept comment="" disabled=yes
add chain=forward protocol=tcp dst-port=5800-5900 action=accept comment="" disabled=yes
/ ip firewall service-port
set ftp ports=21 disabled=no
set tftp ports=69 disabled=no
set irc ports=6667 disabled=no
set h323 disabled=yes
set quake3 disabled=no
set gre disabled=yes
set pptp disabled=yes
[kbca@MikroTik] ip firewall>

o ip que se encontra no momento em que fiz este port e o do dst adress portanto sei que quando reinicio o moden terei que trocalo na regra

Amigo,

Como vc usa velox, primeiro vc deve solucionar o problema do IP DINAMICO, com um DDNS... Eu uso o serviço da CHANGEIP.COM, faça um cadastro la e crie um nome host pra ser atribuido no seu MK com esta regra... (Dynamic DNS Update Script for ChangeIP.com - MikroTik Wiki), fique atento a versao de seu MK!!!!!!!!!!!!!!! Existe script para versao 2.x e 3.x.

Após isso vc deve criar uma regra NAT para a porta q vc deseja (nao vou entrar no merito da porta, vc usa o ex como quiser).

chain=dstnat action=dst-nat to-addresses=IP DO SERVER CS (IP DA REDE LOCAL) to-ports=PORTA DO SERVIDOR CS protocol=tcp dst-port=PORTA DO SERVIDOR CS

Ponto, seu servidor CS ja pode ser enchergado na rede mundial.

Qualquer duvida so falar.

Cyrille Grellier
[email protected]

[saquasurf]

bom amigo primeiramente grato pela ajuda mas o que acontece e o seguinte com meu ip e dinamico com ofiz esse teste de portas. fui em um site que pega meu ip externo e o add na regra entao quando digito esse ip ele chega o mk certo? testei acesso ao mk por esse ip atraves do winbos de fora de minha rede tudo ok acesso normalmente mas como pode ver na minhas regras de firewall nao consigo acessar a estaçao atras do mk pelo vnc o que deveria acontecer uma vez que a regra e para fazer o roteamanto ate a estaçao que tem seu ip determinado na regra e sua porta de serviço do vnc liberada. o serviço de ddns e para que nao precise ficar mudando o ip naregra sempre que meu modem for reiniciado certo? entao nao vi o por que de fazelo agora uma vez que estou testando o roteamento com o vnc. o problema e algo entre a chegada do pedido externo ao mk e o redirecionamento para a estaçao que esta atras do mk com o vnc server instalado. caso possa me ajudar estou no aguardo e se eu tiver falado algo que nao bate favor observar e me corrigir pois sou novato no mk e estou disposto a aprender.. desde ja obrigado

ps: meu modem esta em bridge o mk e que faz todo o serviço de roteamento e tambem vale dizer que uso web proxy

[cgrellier]

Desabilita todas as suar regras pra teste...

Deixe apenas o nat da sua rede interna.
Depois add esta regra no nat

chain=dstnat action=dst-nat to-addresses=ip da maquina q vc quer acessar o vnc to-ports=0-65535
protocol=tcp dst-port=5900

To partindo da premissa que a porta do seu VNC é a 5900, caso ñ seja só mudar.

Depois em outra rede externa temta acessar com o ip externo q ta seu MK.

Campeao, se nao funfar.... Me add no msn [email protected] q te ajudo...
Depois vc posta a soluçao aki.

Abraços.

[multlink]

amigo na aba do firewal tem uam aboa com nome de serviçe ports ae você muda a porta do quake3 ou adciona outra para 27015 que é a do counter strike e sucesso!

[saquasurf]

pessoal ta um corre corre grande aqui ainda nao tive tempo de testar mas hj ainda testo e posto o resultado obrigado a todos pela ajuda

[saquasurf]

infelizmente nao funfou acho que deve ser algo aqui pq todos os posts que vi no forum e a mesma coisa e so o meu que nao funciona . olha so tenho duas placas de rede nesse pc que quero acessar remoto uma esta desabilitada isso tem alguma influencia pq mesmo desabilitada seu cabo se encontra ligado ao switch e tambem vale dizer que uso hotspot mas com bypassed como disse no inicio to topico.

[gladstony]

infelizmente nao funfou acho que deve ser algo aqui pq todos os posts que vi no forum e a mesma coisa e so o meu que nao funciona . olha so tenho duas placas de rede nesse pc que quero acessar remoto uma esta desabilitada isso tem alguma influencia pq mesmo desabilitada seu cabo se encontra ligado ao switch e tambem vale dizer que uso hotspot mas com bypassed como disse no inicio to topico.

Fera tive um problema esta semana com esta regra.... pois a maquina que eu estava mandando o redirecionamento estava em timeout.... ou seja... nao estava pingando para o servidor mikrotik... então fiz um ping no dos da mquina para o servidor depois fiz a requisição e funcionou...

Abraço

[saquasurf]

nao entendi muito bem , como vejo se esta em timeout e como retiro . obrigado pela ajuda abraço

[gladstony]

nao entendi muito bem , como vejo se esta em timeout e como retiro . obrigado pela ajuda abraço

Vá em tools > ping digite o ip da maquina que esta recebendo o redirecionamento.... veja se ela responde o ping ou se ela esta em timeout... timeout é sem resposta de ping... se estiver retornando o ping feito pelo mikrotik nao estara em timeout....

[saquasurf]

fiz o indicado e ela nao esta em timeout para ter certeza fiz o mesmo procedimento em uma estaçao desligada e essa sim deu timeout. e agora o que sera?

[kurtenet]

Boa tarde amigo...

abaxo postei um aba NAT de um firewall com velox via pppoe em um Mk 2.9.27 Crack -.-"

esta regra funciona perfeita mente no vnc... da uma analizada nela e coloca suas portas e ips internos para que seu servidor CS possa funcionar.

1º Regra em negrito e uma NAT onde fasso o mascaramento da saida do modem velox

2º Regra em negrito e um direcionamento da porta 5900 da minha conexoa VELOX p/ uma maquina interna na minha rede na mesma porta 5900.


/ ip firewall nat

add chain=srcnat out-interface=VELOX action=masquerade comment="NAT Ether1 / \
Ether2" disabled=no

add chain=dstnat dst-address=0.0.0.0/0 protocol=tcp dst-port=8020 \
action=dst-nat to-addresses=10.20.8.2 to-ports=8020 \
comment="Direcionamento porta Site 8020" disabled=yes

add chain=dstnat dst-address=0.0.0.0/0 protocol=tcp dst-port=5900 \
action=dst-nat to-addresses=10.20.8.2 to-ports=5900 \
comment="Direcionamento porta VNC 5900 10.20.8.2" disabled=no

add chain=dstnat dst-address=0.0.0.0/0 protocol=tcp dst-port=8002 \
action=dst-nat to-addresses=192.168.0.2 to-ports=80 \
comment="Direcionamento porta 80 AP 192.168.0.2" disabled=no

add chain=dstnat dst-address=200.221.0.0/16 action=accept comment="RADIO UOL" \
disabled=no

add chain=dstnat in-interface="INTRANET ether1" dst-address=200.201.160.0/24 \
protocol=tcp dst-port=80 action=accept comment="Conectividade Social" \
disabled=no
add chain=dstnat in-interface="INTRANET ether1" dst-address=200.201.166.0/24 \
protocol=tcp dst-port=80 action=accept comment="" disabled=no
add chain=dstnat in-interface="INTRANET ether1" dst-address=200.201.173.0/24 \
protocol=tcp dst-port=80 action=accept comment="" disabled=no
add chain=dstnat in-interface="INTRANET ether1" dst-address=200.201.174.0/24 \
protocol=tcp dst-port=80 action=accept comment="" disabled=no

add chain=dstnat in-interface="INTRANET ether1" protocol=tcp dst-port=80 \
action=redirect to-ports=3128 comment="ROTA P/ CACHE" disabled=no


Boa tarde a todos e bom trabalho.

By Kurtenet

[saquasurf]

amigo primeiramente obrigado pela ajuda ainda nao funcionou mas uma obs e valda esta regra tem posiçao para se colocar no nat

exemplo a minha ordem aqui como pode ver no meu primeiro post vem o masquered depois as regras de redirecionamento para o webproxy e sua respectiva porta e la embaixo vem minha regra de redirecionamento para o vnc isso influencia (acho que sim mas preciso dessa confirmaçao) caso sim onde devo coloca la

outra coisa e preciso reiniciar o mk para que a mesma venha a valer


desde ja sou grato pela ajuda e agora e enquanto isso nao funfar nao desisto . abraço

[kurtenet]

Hum deveria funcionar... ^^

a ordem do seu nat esta correta

MASQUERADA depois REDIRECT

vc colocou aquele dst-address 0.0.0.0/0 na sua regra ele é importante para que a regra funcione em link adsl dinamico.

O mk nao precisa ser reiniciado para regras entrar em funcionamento nao.


by kurtenet

[jardelalmeida]

Amigos estou com este mesmo problema, fiz uma regra de redirecionamento para uma maquina interna mas meu mikrotik não pinga para a máquina que quero redirecionar as portas, já desabilitei o firewal da maquina e nada, alguma dica ?

Detalhe a maquina consegue pingar para o mikrotik mas o contrário não !

[eugeniomarques]

Amigo,

Como vc usa velox, primeiro vc deve solucionar o problema do IP DINAMICO, com um DDNS... Eu uso o serviço da CHANGEIP.COM, faça um cadastro la e crie um nome host pra ser atribuido no seu MK com esta regra... (Dynamic DNS Update Script for ChangeIP.com - MikroTik Wiki), fique atento a versao de seu MK!!!!!!!!!!!!!!! Existe script para versao 2.x e 3.x.

Após isso vc deve criar uma regra NAT para a porta q vc deseja (nao vou entrar no merito da porta, vc usa o ex como quiser).

chain=dstnat action=dst-nat to-addresses=IP DO SERVER CS (IP DA REDE LOCAL) to-ports=PORTA DO SERVIDOR CS protocol=tcp dst-port=PORTA DO SERVIDOR CS

Ponto, seu servidor CS ja pode ser enchergado na rede mundial.

Qualquer duvida so falar.

Cyrille Grellier
[email protected]

amigo.. eu tenho tudo isso pronto.. e nao consigo fazer nada atras do mk funcionar...

jah tentei um servidor de tibia..

agora tento acessar meu modem adsl...

nada volta do mk...

na aba connection do firewall.. eu vejo a tentativa de conexão.. mas o estado tcp fica: syn sent

como se nao recebesse de volta o ack...

nao sei o q fazer mais..

assim: eu tenho o endereço: megagenius.ddns.info

jah coloquei o script no mk q atualiza... tah tudo certo ateh aki...

fiz uma regra de nat.. q se alguem tentar acessar o endereço citado acima.. na porta 5001.. ele vai ser redirecionado.. dst-nat pra o ip interno 10.0.0.3 na porta 80.. q eh meu modem adsl..

mas aih eu tento... na aba conecction aparece a tentativa.. meu ip interno tentando conectar o ip da velox.. ou seja.. a parte do ddns tah funcionando... inclusive mostra a porta 5001... mas dae fica tcp syn sent..

vou colocar aki a imagem..

um abraço