+ Responder ao Tópico



  1. #1

    Smile Redirecionamento só funciona em uma rede, na outra não.

    Olá a todos!

    Tenho uma regra para redirecionamento dos clientes inadimplentes para uma página em um servidor w2003 interno. Temos duas redes, 192.168.2.xx e 192.168.3.xx. o redirecionamento para clientes da rede 3.xx está normal, mostra a tela dizendoque ele esta em débito e para ele entrar em contato conosco etc...

    Cadastramos os clientes como "Devedores" na adress list. Se ele pertencer a rede 2.xx, o redirecionamento não abre a pagina de aviso e fica tentando abrir, não conclui e nem aparece mensagem alguma de erro.

    Aparentemente o redirecionamento até está sendo feito pois o cliente não consegue acessar nada, o poblema mesmo e que a pagina de aviso não abre, exeto para os clientes que pertencem a rede 3.xx que abre a pagina e bloqueia qualquer acesso.

    Segue a regra do redirecionamento e as demais do nat

    /ip firewall nat

    0 chain=srcnat action=accept protocol=ospf

    1 chain=srcnat action=masquerade src-address-list=proxy out-interface=ether3

    2 ;;; AVISO PARA BLOQUEADOS
    chain=dstnat action=dst-nat to-addresses=192.168.1.60 to-ports=8888 protocol=tcp src-address-list=Devedores src-port=0-65535 dst-port=0-65535

    3 X ;;; IPs internos que devem passar fora do proxy
    chain=dstnat action=accept protocol=tcp src-address-list=sem_proxy dst-port=80

    4 ;;; Redirect Debian
    chain=dstnat action=dst-nat to-addresses=192.168.10.250 to-ports=3128 protocol=tcp src-address=192.168.2.0/24 dst-address=!192.168.10.250 dst-address-list=!fora_proxy
    dst-port=80

    5 chain=dstnat action=dst-nat to-addresses=192.168.10.250 to-ports=3128 protocol=tcp src-address=192.168.3.0/24 dst-address=!192.168.10.250 dst-address-list=!fora_proxy
    dst-port=80

    Obrigado!

  2. #2

    Padrão

    Ai Galera será que fui confuso na descrição do meu problema?

    Resumindo..

    Se o IP do cliente inadimplente for da 192.168.2.xx e estiver como "Devedor" na adress list, redireciono no NAT todas as portas do cliente para uma pagina interna e apartir daqui ele não consegue mais navgar nem conectar mais nada, só que a pagina de aviso não está sendo carregada, o navegador até abre mais não carrega a página de aviso. tentei com o IE, Chrome e firefox.

    Agora se o cliente pertencer a rede 192.168.3.xx vai tudo normal, bloqueia tudo, mostra a pagina de aviso e tudo mais.

    Estranho que antes funcionava normalmente e só parou de funcionar na rede 2.xx

    ajuda ai galera!
    Valeu
    Última edição por Evilazio; 09-02-2010 às 00:20. Razão: complemento ao tópico



  3. #3

    Padrão

    Qual o ip do servidor de aviso?

  4. #4

    Padrão

    Fala Raniel blz, o ip do servidor é 192.168.1.60 porta 8888



  5. #5

    Padrão

    Faça assim, abra uma nova porta no apache (Listen 8889) e use o redirecionamento da outra rede para esta.Observe se não há algum bloqueio também. Tipo as regras de "virus", as vezes pegam elas e não observam, mas elas podem bloquear algo que queira usar. Verifique.

  6. #6

    Padrão

    boa noite a todos,

    pessoal estou um um problema e gostaria de ver se algum de vocês podem me ajudar a resolvelo.
    sou iniciante por aqui e estou passando muita raiva com a minha rede.

    uso a versão 3.30 com media de 64 clientes cadastrados no hotspot.
    o plano básico que entrego a eles e de 400k de down e 200k de up, o problema q estou tendo aqui é o seguinte.
    no orário de pico ele fica muito lento a conexão para os clientes na media de 30 clientes conectados simultaneos, sendo que tenho 2 link´s 1 dedicado de 1m e uma adsl de 8m
    Outro problema está no gráfico que o mk armazena com informações de conexão dos clientes, já refis um punhado de vezes e ele não salva.
    Gostaria que o meu mk funcionace com load balance dos 2 links que tenho, + já pesquisei tanto na internet, + não obtive muito sucesso, agora vem a pergunta.
    O maior dos problemas é que tenho perdido muitos clientes com essa cituação, gostaria de uma dica de vocês que já estão + acostumados a trabalhar com mk.

    segue as configurações que uso nele.
    Fail Over
    /ip route
    add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
    201.16.x.x routing-mark=to_Internet scope=30 target-scope=10
    add check-gateway=ping comment="ping test" disabled=no distance=2 \
    dst-address=0.0.0.0/0 gateway=10.1.1.1 scope=30 target-scope=10
    add comment="Gat Link" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=\
    10.1.1.1 routing-mark=to_ADSL scope=30 target-scope=10
    add check-gateway=ping comment="" disabled=no distance=1 dst-address=\
    0.0.0.0/0 gateway=201.16.x.x scope=30 target-scope=10

    demais regras

    /ip firewall filter
    add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=no
    add action=drop chain=input comment="drop ftp brute forcers" disabled=no \
    dst-port=21 protocol=tcp src-address-list=ftp_blacklist
    add action=accept chain=output comment="" content="530 Login incorrect" \
    disabled=no dst-limit=1/1m,9,dst-address/1m protocol=tcp
    add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=1d chain=output comment="" content=\
    "530 Login incorrect" disabled=no protocol=tcp
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp
    add action=drop chain=forward comment="drop ssh brute downstream" disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist

    /ip firewall nat
    add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=no
    add action=masquerade chain=srcnat comment="load balancing" disabled=no \
    out-interface=ADSL
    add action=masquerade chain=srcnat comment="" disabled=no out-interface=\
    INTERNET

    /ip firewall mangle
    add action=mark-connection chain=input comment="" disabled=no in-interface=\
    INTERNET new-connection-mark=Internet_conn passthrough=yes
    add action=mark-routing chain=output comment="" connection-mark=Internet_conn \
    disabled=no new-routing-mark=to_Internet passthrough=yes
    add action=mark-connection chain=input comment="" disabled=no in-interface=\
    ADSL new-connection-mark=ADSL_conn passthrough=yes
    add action=mark-routing chain=output comment="" connection-mark=ADSL_conn \
    disabled=no new-routing-mark=to_ADSL passthrough=yes
    add action=mark-routing chain=prerouting comment=\
    "BALANCEAMENTO MULTIPLOS GATEWAY" disabled=no new-routing-mark=\
    to_Internet passthrough=yes src-address=192.168.0.0/24
    add action=mark-connection chain=output comment="CACHE FULL" content=\
    "X-Cache: HIT" disabled=no new-connection-mark=squid-connection-HIT \
    passthrough=yes protocol=tcp src-port=3128
    add action=mark-packet chain=output comment="" connection-mark=\
    squid-connection-HIT disabled=no new-packet-mark=squid-packet-HIT \
    passthrough=no
    add action=mark-packet chain=prerouting comment="UP TRAFFIC" disabled=no \
    in-interface=REDE new-packet-mark=test-up passthrough=no
    add action=mark-connection chain=forward comment=CONN-MARK disabled=no \
    new-connection-mark=test-conn passthrough=yes
    add action=mark-packet chain=forward comment="DOWN-DIRECT CONNECTION" \
    connection-mark=test-conn disabled=no in-interface=ADSL new-packet-mark=\
    test-down passthrough=no
    add action=mark-packet chain=forward comment="" connection-mark=test-conn \
    disabled=no in-interface=INTERNET new-packet-mark=test-down passthrough=\
    no
    add action=mark-packet chain=output comment="DOWN-VIA PROXY" disabled=no \
    new-packet-mark=test-down out-interface=REDE passthrough=no
    add action=mark-packet chain=forward comment="" connection-mark=test-conn \
    disabled=no in-interface=INTERNET new-packet-mark=test-down passthrough=\
    no

    /queue tree
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=2M \
    max-limit=2M name=downstream packet-mark=test-down parent=REDE priority=1 \
    queue=default
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k \
    max-limit=512k name=upstream packet-mark=test-up parent=global-in \
    priority=1 queue=default
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=2M \
    max-limit=100M name=Cache-full packet-mark=squid-packet-HIT parent=\
    global-out priority=8 queue=default

    O que que estou fazendo de errado gente?



  7. #7

    Padrão

    Citação Postado originalmente por MarcioMuniz Ver Post
    boa noite a todos,

    pessoal estou um um problema e gostaria de ver se algum de vocês podem me ajudar a resolvelo.
    sou iniciante por aqui e estou passando muita raiva com a minha rede.

    uso a versão 3.30 com media de 64 clientes cadastrados no hotspot.
    o plano básico que entrego a eles e de 400k de down e 200k de up, o problema q estou tendo aqui é o seguinte.
    no orário de pico ele fica muito lento a conexão para os clientes na media de 30 clientes conectados simultaneos, sendo que tenho 2 link´s 1 dedicado de 1m e uma adsl de 8m
    Outro problema está no gráfico que o mk armazena com informações de conexão dos clientes, já refis um punhado de vezes e ele não salva.
    Gostaria que o meu mk funcionace com load balance dos 2 links que tenho, + já pesquisei tanto na internet, + não obtive muito sucesso, agora vem a pergunta.
    O maior dos problemas é que tenho perdido muitos clientes com essa cituação, gostaria de uma dica de vocês que já estão + acostumados a trabalhar com mk.

    segue as configurações que uso nele.
    Fail Over
    /ip route
    add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
    201.16.x.x routing-mark=to_Internet scope=30 target-scope=10
    add check-gateway=ping comment="ping test" disabled=no distance=2 \
    dst-address=0.0.0.0/0 gateway=10.1.1.1 scope=30 target-scope=10
    add comment="Gat Link" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=\
    10.1.1.1 routing-mark=to_ADSL scope=30 target-scope=10
    add check-gateway=ping comment="" disabled=no distance=1 dst-address=\
    0.0.0.0/0 gateway=201.16.x.x scope=30 target-scope=10

    demais regras

    /ip firewall filter
    add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=no
    add action=drop chain=input comment="drop ftp brute forcers" disabled=no \
    dst-port=21 protocol=tcp src-address-list=ftp_blacklist
    add action=accept chain=output comment="" content="530 Login incorrect" \
    disabled=no dst-limit=1/1m,9,dst-address/1m protocol=tcp
    add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=1d chain=output comment="" content=\
    "530 Login incorrect" disabled=no protocol=tcp
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp
    add action=drop chain=forward comment="drop ssh brute downstream" disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist

    /ip firewall nat
    add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=no
    add action=masquerade chain=srcnat comment="load balancing" disabled=no \
    out-interface=ADSL
    add action=masquerade chain=srcnat comment="" disabled=no out-interface=\
    INTERNET

    /ip firewall mangle
    add action=mark-connection chain=input comment="" disabled=no in-interface=\
    INTERNET new-connection-mark=Internet_conn passthrough=yes
    add action=mark-routing chain=output comment="" connection-mark=Internet_conn \
    disabled=no new-routing-mark=to_Internet passthrough=yes
    add action=mark-connection chain=input comment="" disabled=no in-interface=\
    ADSL new-connection-mark=ADSL_conn passthrough=yes
    add action=mark-routing chain=output comment="" connection-mark=ADSL_conn \
    disabled=no new-routing-mark=to_ADSL passthrough=yes
    add action=mark-routing chain=prerouting comment=\
    "BALANCEAMENTO MULTIPLOS GATEWAY" disabled=no new-routing-mark=\
    to_Internet passthrough=yes src-address=192.168.0.0/24
    add action=mark-connection chain=output comment="CACHE FULL" content=\
    "X-Cache: HIT" disabled=no new-connection-mark=squid-connection-HIT \
    passthrough=yes protocol=tcp src-port=3128
    add action=mark-packet chain=output comment="" connection-mark=\
    squid-connection-HIT disabled=no new-packet-mark=squid-packet-HIT \
    passthrough=no
    add action=mark-packet chain=prerouting comment="UP TRAFFIC" disabled=no \
    in-interface=REDE new-packet-mark=test-up passthrough=no
    add action=mark-connection chain=forward comment=CONN-MARK disabled=no \
    new-connection-mark=test-conn passthrough=yes
    add action=mark-packet chain=forward comment="DOWN-DIRECT CONNECTION" \
    connection-mark=test-conn disabled=no in-interface=ADSL new-packet-mark=\
    test-down passthrough=no
    add action=mark-packet chain=forward comment="" connection-mark=test-conn \
    disabled=no in-interface=INTERNET new-packet-mark=test-down passthrough=\
    no
    add action=mark-packet chain=output comment="DOWN-VIA PROXY" disabled=no \
    new-packet-mark=test-down out-interface=REDE passthrough=no
    add action=mark-packet chain=forward comment="" connection-mark=test-conn \
    disabled=no in-interface=INTERNET new-packet-mark=test-down passthrough=\
    no

    /queue tree
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=2M \
    max-limit=2M name=downstream packet-mark=test-down parent=REDE priority=1 \
    queue=default
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k \
    max-limit=512k name=upstream packet-mark=test-up parent=global-in \
    priority=1 queue=default
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=2M \
    max-limit=100M name=Cache-full packet-mark=squid-packet-HIT parent=\
    global-out priority=8 queue=default

    O que que estou fazendo de errado gente?
    MarcioMuniz, você deveria criar um novo tópico para isso, tira o Topico incial do Foco.

    Mas vamos as suas respostas, e não esqueça de abrir um novo topico:

    De quanto é o CIR do Link dedicado?
    Como esta configurado o balanceamento(é por marcação de protocolo, ou balanceamento de carga)?
    Qual RB vc esta usando?

    Responda essas perguntas em um novo topico, porfavor!
    Última edição por fhb; 21-02-2010 às 18:11. Razão: correções