TENHO um mk que recebe link numa porta(ether1). Essa porta tem ip 200.200.200.200 e gateway configurado corretamente. O Mk ja tem internet. Os clientes que estao atras do radio, estao ligados à porta ether2 e estao todos na faixa 10.2.0.0/16. No momento o radio tem 3 regras no firewall que estao listadas abaixo:
ip firewall nat add chain=dstnat src-address=10.2.0.0/16 protocol=tcp dst-port=80 action=dst-nat to-addresses=200.200.200.200 to-ports=80 comment=R2_REDIR_AUTH
ip firewall nat add chain=srcnat src-address=10.2.0.0/16 protocol=tcp dst-port=80 action=masquerade comment=R2_NAT80_CENTRAL;
ip firewall nat add chain=srcnat src-address=10.2.0.0/16 protocol=udp dst-port=53 action=masquerade comment=R2_NAT53_CENTRAL;
Isso faz com que os clientres consigam fazer consultar dns a sites da internet, mas redireciona o acesso na porta 80 para o meu servidor de autenticacao. Apos inserir o login e a senha corretos o servidor grava uma regra especifica antes desses regras pre-existentes(via ssh) para liberar o acesso do ip que autenticou. Assim, quando o ip 10.2.4.194 autenticar, o servidor insere a regra dele no firewall com o seguinte comando:
ip firewall nat add chain=srcnat src-address=10.2.4.194 action=masquerade place-before=0"
Assim o firewall passa a possuir as regras:
1-ip firewall nat add chain=srcnat src-address=10.2.4.194 action=masquerade place-before=0"
2-ip firewall nat add chain=dstnat src-address=10.2.0.0/16 protocol=tcp dst-port=80 action=dst-nat to-addresses=200.200.200.200 to-ports=80 comment=R2_REDIR_AUTH
3-ip firewall nat add chain=srcnat src-address=10.2.0.0/16 protocol=tcp dst-port=80 action=masquerade comment=R2_NAT80_CENTRAL;
4-ip firewall nat add chain=srcnat src-address=10.2.0.0/16 protocol=udp dst-port=53 action=masquerade comment=R2_NAT53_CENTRAL;
O problema é que mesmo assim o mk continua redirecionado o acesso da porta 80 para o servidor de autenticacao. MSN, skype e outras aplicacoes que nao usem a porta 80 funcionam normalmente, mas todo o trafego na porta 80 permanece sendo redirecionado, o que não deveria acontecer para essa maquina(10.2.4.194) ja que a 1ª regra livra ela do redirecionameto. Pra que funcione da forma que deveria eu preciso desativar a regra 2, so que dessa forma eu perco a funcionalidade do redirecionamento para os clientes que ainda não autenticaram.
Quando zero os contadores, percebo que se a regra 2 estiver ativa, todos os pacotes que passam pela regra 1 na porta 80 tambem passam pela regra 2.
Não sou expert em firewall do mikotik. Os caros colegas poderiam me dar uma luz?
Grato,
Marco