Página 8 de 9 PrimeiroPrimeiro ... 3456789 ÚltimoÚltimo
+ Responder ao Tópico



  1. #43

    Padrão

    Desculpe mais uma vez,
    acabei de dar um export

    / ip firewall nat
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
    protocol=tcp dst-address-list=meuip comment="" disabled=no
    add chain=srcnat action=src-nat to-addresses=192.168.64.18 to-ports=0-65535 \
    connection-mark=odd comment="" disabled=no
    add chain=srcnat action=src-nat to-addresses=10.246.21.6 to-ports=0-65535 \
    connection-mark=even comment="" disabled=no
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
    connection-mark=jump comment="" disabled=no

    / ip firewall mangle
    add chain=prerouting action=mark-connection new-connection-mark=odd \
    passthrough=yes connection-state=new in-interface=Local nth=2,1,0 \
    comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=odd passthrough=no \
    in-interface=Local connection-mark=odd comment="" disabled=no
    add chain=prerouting action=mark-connection new-connection-mark=even \
    passthrough=yes connection-state=new in-interface=Local nth=2,1,1 \
    comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
    in-interface=Local connection-mark=even comment="" disabled=no
    add chain=prerouting action=mark-connection new-connection-mark=jump \
    passthrough=yes connection-state=new in-interface=Local nth=2,1,2 \
    comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=jump passthrough=no \
    in-interface=Local connection-mark=jump comment="" disabled=no
    / ip firewall address-list
    add list=list address=170.66.11.1 comment="" disabled=no
    add list=list address=170.66.2.59 comment="" disabled=no
    add list=list address=65.55.197.126 comment="" disabled=no
    add list=list address=72.5.77.205 comment="" disabled=no
    add list=list address=170.66.11.10 comment="" disabled=no
    add list=list address=170.66.52.28 comment="" disabled=no
    add list=list address=170.66.1.60 comment="" disabled=no
    add list=list address=65.54.179.203 comment="" disabled=no
    add list=meuip address=200.184.179.19 comment="" disabled=no


    Grande amigo, de forma alguma eu tentei ocultar as regras, até porque todas foram pegas aqui no forum hehehe, deixa eu falar uma coisa, eu em umas das varias tentativas com o banco, tive a senha bloqueada, por esse motivo, estou testando com o ip do site meuip.com.br, eu removi a porta 443 da regra que você postou, e coloquei em dst-address-list o nome meuip, cujo eu botei na aba access-list a regra meuip e o ip do site. Esto abrindo o site sempre com o mesmo ip, porem notei uma demora na abertura significativa na abertura do mesmo.

    Aqui vai o /ip routes

    / ip route
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 routing-mark=odd comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.27.2 distance=1 scope=255 \
    target-scope=10 routing-mark=jump comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
    target-scope=10 routing-mark=even comment="" disabled=no

  2. #44

    Padrão

    iuredaluz... voce é apressado DEMAIS.



    Seu codigo:
    Código :
     / ip firewall nat 
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
        protocol=tcp dst-address-list=meuip comment="" disabled=no
    está certo disso? Não está faltando DST_TCPPORT:443 ???


    Peço que voce reveja com calma.... com bastante calma... tudo novamente. Você é craque! Já deu pra perceber isso.
    Vá na confiança que voce resolve o problema.




    Abracos,



  3. #45

    Padrão

    Citação Postado originalmente por mson77 Ver Post
    iuredaluz... voce é apressado DEMAIS.



    Seu codigo:
    Código :
     / ip firewall nat 
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
        protocol=tcp dst-address-list=meuip comment="" disabled=no
    está certo disso? Não está faltando DST_TCPPORT:443 ???


    Peço que voce reveja com calma.... com bastante calma... tudo novamente. Você é craque! Já deu pra perceber isso.
    Vá na confiança que voce resolve o problema.




    Abracos,
    Grande amigo, eu entendi o que você quis dizer, entendi mesmo, porem eu disse para você que por enquanto estava testando com o site meuip.com.br e o mesmo não usa a porta 443 (https), ele é apenas http (80),porem continuo lento, mais eu fiz o que você mandou, listei todos os ips do banco do brasil, botei a porta 443 e a regra no NAT ficou assim:

    / ip firewall nat
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
    dst-port=443 protocol=tcp dst-address-list=banco comment="" disabled=no

    ja no access-list onde tem os ips dos bancos olhe:

    / ip firewall address-list
    add list=banco address=170.66.11.1 comment="" disabled=no
    add list=banco address=170.66.2.59 comment="" disabled=no
    add list=banco address=65.55.197.126 comment="" disabled=no
    add list=banco address=72.5.77.205 comment="" disabled=no
    add list=banco address=170.66.11.10 comment="" disabled=no
    add list=banco address=170.66.52.28 comment="" disabled=no
    add list=banco address=170.66.1.60 comment="" disabled=no
    add list=banco address=65.54.179.203 comment="" disabled=no
    add list=meuip address=200.184.179.19 comment="" disabled=no
    add list=banco address=69.25.21.197 comment="" disabled=no

    Todos os ips são do banco do brasil,
    agora o que acontece?

    Eu tento abrir, ele pede agencia e conta, e quando dou entrar, ele demora e expira a pagina.
    Espero que você me entenda.

  4. #46

    Padrão

    Ola iuredaluz...


    Obviamente... cada um é cada um.
    Eu, particularmente... nao gosto muito de particularidades. Gosto de regras genéricas sempre que possivel.

    Entao... por partes:

    1) tcp_dst_port:443 (https)
    Muito bancos... ou quase todos... verificam se a conexão é proveniente de um UNICO IP... Isso é feito para garantir segurança na conexão a nivel de sessão e aplicação... da cada OSI.

    Entao... **EU** nao particularizaria a regra colocando uma LISTA DE IPs para ser analisada a cada momento. Isso consome CPU e seu voce estiver usando um RouterBoard... piorou.

    Então... esteja bem DITO: Eu usaria a regra tcp_dst_port:443 generica para TODAS as conexoes. Nao somente para BB... como voce diz e quer. E amanha... quem vai fazer manutencao dessa lista? (Lembre-se: "Quem planta vento... colhe tempestade!" Faça a coisa MAIS CORRETA E GENERICA POSSIVEL E SEMPRE)

    2) tcp_dst_port:1863 (MSN)
    AGORA... hoje... ano 2008... segue a mesma tendencia do https (bancos).

    3) Lentidão. Há que se diagnosticar a causa. Onde está a causa?
    Possiveis respostas:
    Na resolucao do nome (DNS);
    Na rota (no seu caso... LINK de saida)
    ==> crie uma regra estática e teste cada link
    ...e, essa lentidao é SEMPRE? Ou somente agora? Seu sistema está congestionado?... váaaarias coisas para observar.

    4) Seu /ip route... é somente isso que voce postou?
    Não está FALTANDO mais nada?
    Não tem as regras de cada rede... de cada interface?


    Infelizmente... PERDEMOS muito tempo até voce compreender como as REGRAS ditam tudo. Eu devo ter parecido CRUEL e RUDE. Peço que não veja sob essa ótica. Pense que alguem chegou a voce e perguntou:

    "Meu carro nao funciona mais! Me ajuda a resolver?"

    POSTOU esse abacaxi... e foi embora. Parece entao que essa pessoa é CARENTE DE CONVERSA... nao de solucao. Se fosse de solucao... postaria o MAXIMO DE INFORMACAO... de uma vez... para que TODOS POSSAM LER E AJUDAR NA HORA.

    É isso.





    Abraços,



  5. #47

    Padrão

    Citação Postado originalmente por mson77 Ver Post
    Ola iuredaluz...


    Obviamente... cada um é cada um.
    Eu, particularmente... nao gosto muito de particularidades. Gosto de regras genéricas sempre que possivel.

    Entao... por partes:

    1) tcp_dst_port:443 (https)
    Muito bancos... ou quase todos... verificam se a conexão é proveniente de um UNICO IP... Isso é feito para garantir segurança na conexão a nivel de sessão e aplicação... da cada OSI.

    Entao... **EU** nao particularizaria a regra colocando uma LISTA DE IPs para ser analisada a cada momento. Isso consome CPU e seu voce estiver usando um RouterBoard... piorou.

    Então... esteja bem DITO: Eu usaria a regra tcp_dst_port:443 generica para TODAS as conexoes. Nao somente para BB... como voce diz e quer. E amanha... quem vai fazer manutencao dessa lista? (Lembre-se: "Quem planta vento... colhe tempestade!" Faça a coisa MAIS CORRETA E GENERICA POSSIVEL E SEMPRE)

    2) tcp_dst_port:1863 (MSN)
    AGORA... hoje... ano 2008... segue a mesma tendencia do https (bancos).

    3) Lentidão. Há que se diagnosticar a causa. Onde está a causa?
    Possiveis respostas:
    Na resolucao do nome (DNS);
    Na rota (no seu caso... LINK de saida)
    ==> crie uma regra estática e teste cada link
    ...e, essa lentidao é SEMPRE? Ou somente agora? Seu sistema está congestionado?... váaaarias coisas para observar.

    4) Seu /ip route... é somente isso que voce postou?
    Não está FALTANDO mais nada?
    Não tem as regras de cada rede... de cada interface?


    Infelizmente... PERDEMOS muito tempo até voce compreender como as REGRAS ditam tudo. Eu devo ter parecido CRUEL e RUDE. Peço que não veja sob essa ótica. Pense que alguem chegou a voce e perguntou:

    "Meu carro nao funciona mais! Me ajuda a resolver?"

    POSTOU esse abacaxi... e foi embora. Parece entao que essa pessoa é CARENTE DE CONVERSA... nao de solucao. Se fosse de solucao... postaria o MAXIMO DE INFORMACAO... de uma vez... para que TODOS POSSAM LER E AJUDAR NA HORA.

    É isso.



    Abraços,
    Opa não tinha pensando em atuar em todas as portas 443, uma otima ideia sua isso, assim não preciso sair atras dos ips dos bancos.

    Possiveis respostas:
    Na resolucao do nome (DNS);
    Vou analisar isto

    Na rota (no seu caso... LINK de saida)
    ja tentei com os 3 links

    ==> crie uma regra estática e teste cada link

    ...e, essa lentidao é SEMPRE? Ou somente agora? Seu sistema está congestionado?... váaaarias coisas para observar.

    Essa lentido não ocorre quando estou so com 1 link ativado, se eu desativar o balanceamento, vai normal ok?

    Abraços e desculpe pelo mal entendido.

    o /ip route quando dou um export so aparece aquilo, mais quando dou um print aparece mais coisas.

    Vou mostrar aqui

    # DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
    0 A S 0.0.0.0/0 r 192.168.64.17 1 Hispamar
    1 A S 0.0.0.0/0 r 192.168.64.17 1 Hispamar
    2 A S 0.0.0.0/0 r 192.168.27.2 1 StarONE
    3 X S 0.0.0.0/0 r 10.246.21.1 1 Comsat
    4 A S 0.0.0.0/0 r 10.246.21.1 1 Comsat
    5 ADC 10.246.21.0/24 10.246.21.6 0 Comsat
    6 ADC 192.168.26.0/24 192.168.26.1 0 Local
    7 ADC 192.168.27.0/24 192.168.27.1 0 StarONE
    8 ADC 192.168.64.0/24 192.168.64.18 0 Hispamar

    aqui vai o export

    / ip route
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 routing-mark=odd comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.27.2 distance=1 scope=255 \
    target-scope=10 routing-mark=jump comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
    target-scope=10 comment="" disabled=yes
    add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
    target-scope=10 routing-mark=even comment="" disabled=no


    Quero lembrar que existe uma regra desativada ai no meio do routes ok?

    como posso criar uma regra estatica para usar sempre 1 link só? seria usando src nat?

    Última edição por iuredaluz; 05-03-2008 às 23:14.

  6. #48

    Padrão

    Para ajudar a você enxergar o erro de distração ja comentado pelo mson


    Veja o que voce tem (agora identificado em vermelho).
    add chain=prerouting action=mark-connection new-connection-mark=odd passthrough=yes connection-state=new in-interface=Local nth=2,1,0 comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no in-interface=Local connection-mark=odd comment="" disabled=no



    add chain=prerouting action=mark-connection new-connection-mark=even passthrough=yes connection-state=new in-interface=Local nth=2,1,1 comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no in-interface=Local connection-mark=even comment="" disabled=no