+ Responder ao Tópico



  1. #25

    Padrão

    @berghetti ,

    veja o cenário... está funcionando bem até agora.. redirecionando tudo beleza.

    Veja essa questão:

    Tenho dois Links. Em ambos fiz o mascaramento, porém vi um problema .. somente no link padrão está acontecendo o redirecionamento.

    Quando coloco alguém pra navegar pelo link2 acontece que só navega de estiver passando fora do proxy, alguma sugestão?


    veja as regras abaixo:

    LINK1 = KONNET
    LINK2 = GVT

    obs: Lembra quando disse que resolvi de uma forma estranha.. colocando esse mascaramento funcionou.

    Código :
    /ip firewall nat
    add action=masquerade chain=srcnat comment="MASCARAMENTO KONNET" disabled=no \
        out-interface=ether1
    add action=masquerade chain=srcnat comment="MASCARAMENTO GVT" disabled=no \
        out-interface=ether9
    add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\
        no protocol=tcp src-address-list=REDES
    add action=accept chain=dstnat comment=\
        "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \
        src-address=!172.16.0.180
    add action=dst-nat chain=dstnat comment="REDIRECIONAR PARA O PROXY" disabled=\
        no dst-port=80 protocol=tcp src-address=!172.16.0.170 to-addresses=\
        172.16.0.170 to-ports=5128

  2. #26

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    opa, então, não entendi esses dois mascaramento, o que está como "PASSAR FORA DO PROXY" está conflitando com a regra "REDIRECIONAR PARA O PROXY", se a intenção foi adicionar um exceção para algum Ip, poderia fazer na propria regra do redirecionamento. se não foi essa a intenção, diz ai...

    add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\
    no protocol=tcp src-address-list=REDESadd action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.180
    quanto a questão de navegar pelo segundo link, você fez as marcações no mangle de quem você quer que saia pelo segundo link e criou as rotas? (se colocar o segundo como principal navega?, se sim é só fazer as marcações)

    e quanto a regra "MASCARAMENTO DAS REDES", se faz necessária? pois oque ela vai fazer é, quando um PC for acessar outro de rede diferente a conexão vai ser mascarada (se está funcionando só por causa dessa regra, da um conferi em todos os hosts se estão com as devidas rotas certinho).



  3. #27

    Post

    Citação Postado originalmente por berghetti Ver Post
    opa, então, não entendi esses dois mascaramento, o que está como "PASSAR FORA DO PROXY" está conflitando com a regra "REDIRECIONAR PARA O PROXY", se a intenção foi adicionar um exceção para algum Ip, poderia fazer na propria regra do redirecionamento. se não foi essa a intenção, diz ai...



    quanto a questão de navegar pelo segundo link, você fez as marcações no mangle de quem você quer que saia pelo segundo link e criou as rotas? (se colocar o segundo como principal navega?, se sim é só fazer as marcações)


    e quanto a regra "MASCARAMENTO DAS REDES", se faz necessária? pois oque ela vai fazer é, quando um PC for acessar outro de rede diferente a conexão vai ser mascarada (se está funcionando só por causa dessa regra, da um conferi em todos os hosts se estão com as devidas rotas certinho).


    Vou tentar te explicar e postar aqui.

    Código :
     
    1 - /ip firewall natadd action=masquerade chain=srcnat comment="MASCARAMENTO KONNET" disabled=no \ out-interface=ether1
     
    2 - add action=masquerade chain=srcnat comment="MASCARAMENTO GVT" disabled=no \ out-interface=ether9
     
    3- add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\ no protocol=tcp src-address-list=REDES
     
    4 - add action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.180
     
    5- add action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.1805- add action=dst-nat chain=dstnat comment="REDIRECIONAR PARA O PROXY" disabled=\ no dst-port=80 protocol=tcp src-address=!172.16.0.170 to-addresses=\ 172.16.0.170 to-ports=5128



    1- Mascaramento Link1
    2- Mascaramento Link2
    3- Mascaramento das Redes daqui. (Só está navegando por causa desse mascaramento, vou postar as rotas no linux)
    4- Essa regra é mais por organização, tendo em vista que não sou o único que trabalha na rede aqui, tudo nela passa fora do proxy.. exceto esse host 172.16.0.180 que é o meu, onde estou fazendo os testes, consigo o bloqueio da minha maquina com esse detalhe na regra já liberando outros.
    5- o Redirecionamento para o Proxy


    Código :
    Tabela de Roteamento IP do Kernel
    Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface
    0.0.0.0          172.16.0.1     255.255.255.255    UGH   0      0        0  eth0
    172.16.0.0     0.0.0.0          255.255.0.0           U       0      0        0  eth0
    0.0.0.0         172.16.0.1      0.0.0.0                  UG     0      0        0  eth0

    Nessa terceira rota não está dizendo que qualquer rede deve sair pelo gateway 172.16.0.1 ?

    Rotas e Mangle:


    Fiz as rotas e marcações sim; e quando coloca o meu host pra navegar pelo Link2 ele navega, mas só se estiver passando fora do proxy.


    Quando desabilito o Link1, todos navegam pelo Link2, ai sim o bloqueio acontece.
    Mas se quero alguma rede ou alguém navegue pelo Link2, só consegue se eu o fizer por fora do proxy.
    Se houver alguma coisa errada me fala que eu ajusto.


    no log do squid consta o host e não o gateway.

  4. #28

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Então seus problemas estão quase resolvidos rsrs.

    Só falta funcionar o segundo link.

    Me diz uma coisa, até porque não tenho experiência com proxy, quando um cliente passa pelo proxy e depois volta pro mikrotik, qual o IP chega no mikrotik, o IP do usuário ou o IP do proxy? ( veja em firewall connection, imagino que seja o IP do usuário, mas se puder me confirma)

    Aí em mangle você faz a marcação com a chain prerouting, src adres= IP do usuário action = Mark routing.

    Depois em IP>route você cria uma rota com essa marcação, tendo o gateway o link 2.



  5. #29

    Padrão

    @berghetti ,

    sim brother.. no Mikrotik aparecem os endereços dos usuários..

    marcações no mangle já está feita.. e nas rotas também.

    mangle:

    Código :
    /ip firewall mangle
    add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\
        "LINK GVT" passthrough=no protocol=tcp src-address=172.16.0.180

    Código :
    /ip route
    add comment="NAVEGARPELO LINK DA GVT" disabled=no distance=1 dst-address=\
        0.0.0.0/0 gateway=192.168.25.1 routing-mark="LINK GVT" scope=30 \
        target-scope=10

    Só falta realmente fazer com que passe no proxy quem estiver navegando por este link.

    lembrando que isso acima só "funciona/navega" se o host estiver passando fora do proxy, e este é o problema.
    ele tem que passar pelo proxy, é algum detalhe passando batido ai.

    bom, as regas que te mostrei até agora estão corretas, certo?

  6. #30

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Então @Pedroh, a princípio está certo, só aquela regra de mascaramento das redes que acho estranho.

    Quanto ao segundo link, antes dessa regra que você mostrou do mangle, crie outra e deixe acima dessa, crie essa regra:

    Action aceept src adres = seu ip, dst adrres = IP do proxy