Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Bem,

    Estou realmente precisando de ajuda em uma configuração não-trivial do mikrotik.

    A primeira pessoa que me der uma dica útil e que me faça resolver o problema, eu pago 25 reais. (tenho que resolver esse problema nas proximas 24 horas)


    Contexto (descrição longa):
    Preciso fazer o mikrotik responder um tracerouter como se fosse outro computador.

    Para quem não sabe como funciona o algoritmo do traceroute: Petryx ::

    o que acontece normalmente:
    Quando você dá o comando tracerouter de um computador de fora para um computador de dentro da rede (passando pelo mikrotik), obrigatoriamente, haverá uma hora que o mikrotik receberá um pacote ICMP com o TTL=1, src-adress=[ipdefora], dst-adress=[ipdedentro]

    Por padrão, o mikrotik vai decrementar o TTL para 0 e assim, vai descartar o pacote e avisar ao src-adrress que o pacote foi descartado.
    Para gerar o aviso, ele vai criar um pacote com as seguintes caracteristicas:
    protocolo=ICMP, src-adress=[IPDOMIKROTIK], dst-adress=[ipdefora], icmp-type=11 icmp-code=0;
    Essa combinação de tipo 11 e código 0 no protocolo ICMP reprensenta a mensagem enviada, que quer dizer: "Lascou, o TTL era zero e eu, o mikrotik, tive que descarta o pacote".

    O problema:

    Quero que o pacote em vez de ser gerado com src-adress=[IPDOMIKROTIK] seja enviado usando o src-adress=[IPDOMIKROTIK2]. (só isso!!!!)
    Na teoria não é nada demais, visto que é só criar uma regra no firewall->NAT
    da seguinte forma: chain= src-nat, action= src-nat to-address=[IPDOMIKROTIK2], protocol=icmp, src-adress=[IPDOMIKROTIK].


    Dessa forma, na teoria, o pacote que passar pela regra, vai sair do mikrotik com o outro IP do mikrotik.

    O erro está no fato que, aparentemente, o pacote em questão não passa pela chain SRC-NAT!
    Se eu criar uma regra na chain OUTPUT do MANGLE, o pacote passa, mais não existe a ação de mudar o src-nat.


    Outra solução que eu pensei foi dá um JUMP para uma outra chain, mas não é possivel visto que o mikrotik não deixa dá jumps para chains padrão e também nao deixa dá um jump de uma chain do mangle para outra no nat por exemplo.

    Pelo que eu entendi, o pacote não passa pelo NAT quando ele é gerado pelo mikrotik.


    Como eu disse antes, a primeira pessoa que der uma solução para o problema (pode ser gambiarra, desde que seja aceitável) recebe 25 reais.
    Não posso usar o MetaROUTER).

    O mikrotik tá zerado, e você tem que considerar que eu possuo várias faixas de IP externo, link dedicado e duas interfaces fisicas de rede.

    (não posso dá o acesso ao mikrotik para ninguem, mas posso dar qualquer informação)

    Arquivo com algumas informações sobre o pacote:
    Clique na imagem para uma versão maior

Nome:	         icmp-pacotemaldito.jpg
Visualizações:	77
Tamanho: 	104,8 KB
ID:      	19827

    Vendo o fluxo de pacotes para pacotes gerado pelo mikrotik, o pacote deveria passsar pela chain src-nat:
    Vejam: http://www.mikrotik.com/documentatio...ket_Flow25.png
    Última edição por renangomes; 14-02-2011 às 23:25.

  2. ninguem vai esquentar a cabeça por r$ 25,00 meu filho paga uma caixa de cerveja que talves tu consuiga alguem pra te ajudar huahuahuahua



  3. se vc por mais um zero atras desse valor vai aparecer a solução do seu problema.

  4. Amigo vc acabou substimando a capacidade técnica, intelectual e principalmente financeira dos usuarios, realmente se vc tivesse oferecido uma caixa de cerveja teria sido mais delicado da sua parte, quero ver quem vai ser o "gostosão" que vai resolver essa bucha por R$ 25,00. Fico acompanhando....



  5. Hehe... Eu tinha respondido outra coisa mas eu prefiro ser legal...

    Na realidade isso não funciona pelo seguinte:
    Quando um pacote externo chega no INPUT da máquina o kernel da máquina responde SEMPRE com o IP que o pacote foi destinado...

    Ou seja, se voce estiver no 192.168.1.1 tentando pingar o 192.168.1.2, o segundo SEMPRE vai responder como 192.168.1.2 já que ele recebeu os pacotes naquela interface/IP.

    A única coisa que você consegue alterar são os pacotes originados naquela máquina (mas não em resposta a outros)... Quer dizer que, se voce fizer uma regra src-nat mudando o IP para 192.168.1.3, ela VAI funcionar APENAS se você iniciar um ping DESTA máquina... Os pacotes sairão com como 192.168.1.3, fazendo o src-nat normalmente...

    E como eu tinha falado no post anterior que eu apaguei, guarda os 25 e compra um livrinho de iptables hehehe






Tópicos Similares

  1. Respostas: 36
    Último Post: 13-05-2017, 09:48
  2. Respostas: 36
    Último Post: 08-09-2015, 12:46
  3. Para quem irá montar rede UBNT neste ano de 2013
    Por biohazzard no fórum Redes
    Respostas: 8
    Último Post: 12-01-2013, 02:26
  4. Pago para quem me der uma solução
    Por SgtoMarlthon no fórum Redes
    Respostas: 32
    Último Post: 28-10-2008, 20:13
  5. Respostas: 7
    Último Post: 04-01-2008, 20:09

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L