Postado originalmente por
BillGates
11º Parte:
Regras para o
LoadBalance:
É isso ai pessoal,tamuh ae em pé acordado e deitado sem dormir!!!
Vamos continuar com o tuto...
Bom,nesse momento ja temos nosso servidor MK LB ou BL como preferir,então vamos às regras:
/ip firewall filter
add action=drop chain=forward comment="
Bloqueio de acesso ao modem DSL2 pela rede." \
disabled=no src-address=192.168.2.1
add action=drop chain=forward comment="
Bloqueio de acesso ao modem DSL3 pela rede." \
disabled=no src-address=192.168.3.1
add action=accept chain=forward comment=\
"
Total do Trafego gerado entre todos os Links" disabled=no out-interface=\
Link-Gerenciado
Regras 1 e 2: São para impedir o acesso ao modem pela rede.
(Nosso amigo Demo Bill,sugeriu logo acima um tipo de regra um pouco mais complexa para o bloqueio de acesso aos modens.Estas citadas por mim estão correspondendo perfeitamente.).
Regra 3: É para mostrar apenas o trafego total gerado pelos links.
(Opcional)
Vejam que não adicionei o modem DSL1 para a regra de bloqueio,uma vez que não consegui acessa-lo via browser nem pinga-lo.Deve ser pelo fato dele estar em modo bridge ou até mesmo porque não foi adicionado ao /ip address(Por estar sendo discado pelo MK,não é necessário adicionar ao /ip address).Irei fazer mais alguns testes e caso necessário teremos que adicionar ele às regras de bloqueio.
Obs.:
REGRAS ABERTAS A COMENTÁRIOS
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT - Modem DSL-1" disabled=no \
out-interface=Internet
add action=masquerade chain=srcnat comment="NAT - Modem DSL-2" disabled=no \
out-interface=Modem-DSL2
add action=masquerade chain=srcnat comment="NAT - Modem DSL-3" disabled=no \
out-interface=Modem-DSL3
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Navegacao em FTP-Downloads" \
disabled=no dst-port=
21 new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment="" disabled=no dst-port=
22 \
new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment="" disabled=no dst-port=
23 \
new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment="" disabled=no dst-port=
25 \
new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment=\
"Protocolo responsavel por resolucao de DNS"
disabled=yes dst-port=
53 \
new-routing-mark=Link-2 passthrough=yes protocol=udp
add action=mark-routing chain=prerouting comment=\
"Navegacao em sites http e downloads" disabled=no dst-port=
80 new-routing-mark=\
Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment="" disabled=no dst-port=
110 \
new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment="" disabled=no dst-port=
1080 \
new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-packet chain=prerouting comment="Pacotes marcados para o Link-2" \
disabled=no new-packet-mark=Link-2 passthrough=yes routing-mark=Link-2
add action=mark-routing chain=prerouting comment=\
"Navegacao em sites https-encriptados" disabled=no dst-port=
443 new-routing-mark=\
Link-3 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment=\
"Navegacao em messenger - Windows Lime Messenger" disabled=no dst-port=
1863 \
new-routing-mark=Link-3 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment=\
"Navegacao em WebCam - Windows Live Messenger" disabled=no dst-port=
6891 \
new-routing-mark=Link-3 passthrough=yes protocol=tcp
add action=mark-packet chain=prerouting comment="Pacotes marcados para o Link-3" \
disabled=no new-packet-mark=Link-3 passthrough=yes routing-mark=Link-3
Repare que a marcação para a regra da porta
53 esta desativada,em testes que estou realizando aqui,achei por bem deixar esta porta saindo pelo link default mesmo.REGRA EM TESTES
Veja abaixo como ficara nossa tabela filter rules:
http://img132.imageshack.us/img132/2785/tutorial14.jpg
e...
Veja abaixo como ficara nossa tabela Nat:
http://img7.imageshack.us/img7/5981/tutorial13hrc.jpg
e...
Veja abaixo como ficara nossa tabela mangle:
http://img406.imageshack.us/img406/6260/tutorial12.jpg
Foi adicionando alguns comentários em algumas portas,então os colegas podem sugerir comentários para as que estão sem e até mesmo alguma correção para algum comentário feito.
"
Sugiro desabilitar o redirecionamento da porta 21(FTP),em testes aqui,percebi que alguns downs não estavam sendo iniciados devido a este redirecionamento,então caso alguém encontre problemas com FTP,deixe esta porta saindo pelo link default mesmo,ou seja,não faça nenhum redirecionamento desta porta"
Continua...