+ Responder ao Tópico



  1. Bom galera, agora meu problema é com sites de bancos, vou postar aqui minhas configurações.

    / ip firewall nat
    add chain=srcnat action=src-nat to-addresses=192.168.64.18 to-ports=0-65535 \
    connection-mark=odd comment="" disabled=no
    add chain=srcnat action=src-nat to-addresses=10.246.21.6 to-ports=0-65535 \
    connection-mark=even comment="" disabled=no
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
    connection-mark=jump comment="" disabled=no
    add chain=dstnat action=dst-nat to-addresses=192.168.26.2 to-ports=1881 \
    in-interface=Hispamar dst-port=1881 protocol=tcp comment="" disabled=no
    add chain=dstnat action=dst-nat to-addresses=192.168.32.159 to-ports=1881 \
    in-interface=Hispamar dst-port=1882 protocol=tcp comment="" disabled=no

    / ip firewall mangle
    add chain=prerouting action=mark-connection new-connection-mark=even \
    passthrough=yes nth=2,1,2 dst-address-list=list comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
    dst-address-list=list comment="" disabled=no
    add chain=prerouting action=mark-connection new-connection-mark=odd \
    passthrough=yes connection-state=new in-interface=Local nth=2,1,0 \
    comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=odd passthrough=no \
    in-interface=Local connection-mark=odd comment="" disabled=no
    add chain=prerouting action=mark-connection new-connection-mark=even \
    passthrough=yes connection-state=new in-interface=Local nth=2,1,1 \
    comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
    in-interface=Local connection-mark=even comment="" disabled=no
    add chain=prerouting action=mark-connection new-connection-mark=jump \
    passthrough=yes connection-state=new in-interface=Local nth=2,1,2 \
    comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=jump passthrough=no \
    in-interface=Local connection-mark=jump dst-address-list=list comment="" \
    disabled=no

    / ip firewall filter
    add chain=output action=drop p2p=all-p2p comment="Bloqueio de P2P" disabled=no

    / ip firewall address-list
    add list=list address=170.66.11.1 comment="" disabled=no
    add list=list address=170.66.2.59 comment="" disabled=no
    add list=list address=65.55.197.126 comment="" disabled=no
    add list=list address=72.5.77.205 comment="" disabled=no
    add list=list address=170.66.11.10 comment="" disabled=no
    add list=list address=170.66.52.28 comment="" disabled=no
    add list=list address=170.66.1.60 comment="" disabled=no


    / ip route
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 routing-mark=odd comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.27.2 distance=1 scope=255 \
    target-scope=10 routing-mark=jump comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
    target-scope=10 routing-mark=even comment="" disabled=no





    Os ips que estão no LIST foi uma tentativa frustada de tentar fazer que o banco do brasil não passe pelo balanceamento e vá direto para o link cujo podemos chamar de "even"

  2. Ola...



    O seu problema é somente para Banco do Brasil... (https... imagino), ou para site de qualquer banco (tcp:443)... sites que fazem amarração do IP source para autenticar conexão?



    Caso seja para qualquer acesso tcp:443... sugiro remover as 02 regras da tabela mangle que voce criou... e implementar a nova regra na tabela nat.






    Boa sorte.



  3. Citação Postado originalmente por mson77 Ver Post
    Ola...



    O seu problema é somente para Banco do Brasil... (https... imagino), ou para site de qualquer banco (tcp:443)... sites que fazem amarração do IP source para autenticar conexão?



    Caso seja para qualquer acesso tcp:443... sugiro remover as 02 regras da tabela mangle que voce criou... e implementar a nova regra na tabela nat.





    Boa sorte.

    Correto, é para todos os bancos, na verdade, todo tipo de acesso 443, devo fazer então na aba NAT? devo criar uma regra acima das de NAT (masquerade) ou devo por em cada regra do NAT um (!)para excluir os ips que adicionei no meu Access List?

    Muito grato pela ajuda.

  4. Ola...




    Vc faça **ANTES** de tudo... no inicio das suas regras nat



    Filtre por todas as conexoes tcp:443 e faça um source_nat para um IP de alguma das suas 3 interfaces... preservando porta 443.

    E remova aquelas 2 regras na mangle que apontei outrora.






    Abraços,



  5. Iure

    Tem certeza que esse teu Mangle tá funcionando certo?

    Na segunda linha tem referencia a nth=2,1,2 apontando para uma dst-address-list=list


    e também tem uma referencia parecida (nth ) mais no final, e as demais regras nao apontam para nenhuma dst-addreslist..


    Creio que o ideal seria voce partir do zero esses teus mangles, primeiramente entendendo eles... creio que você copiou as regras, mas nao analisou direitinho... acho que tem regra sobrando (as primeiras linhas)






Tópicos Similares

  1. Gostaria de saber se é possível?
    Por Marcos_Duda no fórum Servidores de Rede
    Respostas: 5
    Último Post: 05-07-2004, 17:16
  2. ALGUEM AQUI GOSTARIA DE DAR CURSO ON-LINE?
    Por copynow no fórum Servidores de Rede
    Respostas: 31
    Último Post: 18-06-2004, 08:19
  3. gostaria de saber como fazer pro meu servidor rodar isso
    Por bouncer no fórum Linguagens de Programação
    Respostas: 1
    Último Post: 10-08-2003, 23:25
  4. GOSTARIA DE SABER COMO CONFIGURAR O BIND
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 10-07-2003, 17:40
  5. Respostas: 2
    Último Post: 02-11-2002, 07:34

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L