+ Responder ao Tópico



  1. #1

    Question Liberar portas para passar pelo Hotspot do Mikrotik

    E ai galera, tudo bem? Olha estou com um problema aqui na empresa em que trabalho, onde nós habilitamos o hotspot para autenticar nossos funcionários e para cada departamento definimos alguns perfis e outras coisas há mais. Contudo, existe uma prioridade aqui na empresa onde o Outlook e o Skype devem ficar livres, ou seja, qualquer usuário pode fazer uso dessas aplicações em qualquer máquina sem precisar estar autenticado pelo hotspot.

    Ai amigos é que vem o ‘X’ da questão, como fazer para que, por exemplo, as portas do Outlook, 25 e 110, não sejam tratadas pelo hotspot e sim passem direto?

    Desde já agradeço a todos!

  2. #2

    Padrão Re: Liberar portas para passar pelo Hotspot do Mikrotik

    Olá, tente fazer isso, no new terminal:

    /ip hotspot walled-garden
    add action=allow disabled=no dst-port=25
    add action=allow disabled=no dst-port=110

    Acredito que isso fará com que o destino a essas portas seja liberado pelo hotspot

  3. #3

    Padrão Re: Liberar portas para passar pelo Hotspot do Mikrotik

    Isso realmente vai funcionar agora o skype vc terá que ver para qual ip ela esta destinando as conexões e dai fazer a mesma liberação mas em vez de apontar as portas vc vai apontar o ip se não me engano em dst-address.
    Qualquer dúvida posta ai pra gente

  4. #4

    Padrão Re: Liberar portas para passar pelo Hotspot do Mikrotik

    Sim amigos realmente funcionou desta forma!

    E ainda fiz para liberação de alguns sites que não irão precisar de autenticação para ter acesso à eles.

    Bastando adicionar em Walled Garden, add, em Src. Address coloque o endereço de minha rede que quero liberar e em Dst. Host coloquei o endereço no meu caso www.sintegra.com.br e logo depois em Dst. Port seti 80.

    Funcionou muito bem!

    A questão do Skype, verifiquei ele faz uso das portas 80 ou 443... Ai está o problema!!!

    Por hora eu liberei a porta 443, pois muitos aqui na empresa não utilizam sites com https, porém acho que não vai durar muito, contudo vou estar procurando como está liberando não pela porta, mas sim pela aplicação.

    Outro problema em questão que estou tendo aqui é com o Squind, onde faço um bloqueio de sites via lista, porém ele não aceita que eu libere um IP para ter acesso a um dos sites bloqueados. Segue as regras:

    acl sites_proibidos url_regex -i "/etc/squid/SitesProibidos"
    acl ips_permitidos src "/etc/squid/ips_permitidos"
    http_access allow ips_permitidos
    http_access deny sites_proibidos

    Alguém tem alguma sugestão para contornar isso? Pois, foi o chegue que já ligou aqui no reclamando que queria acessar o Facebook.. ¬¬'

  5. #5

    Padrão Re: Liberar portas para passar pelo Hotspot do Mikrotik

    Após deixar no nosso MK aqui bem "lapidado" vou estar postando aqui para todos as regras que utilizei, pois pode ser útil à algumas pessoa.

    Nele fazemos o controle por departamentos onde, dentros destes departamentos alguns usuário não tem acesso a algumas coisas e outros tem acesso limitado por faixa de horários e etc.

    Além de regras de Load Balance + HostSpot e Squid...

  6. #6

    Padrão Re: Liberar portas para passar pelo Hotspot do Mikrotik

    Citação Postado originalmente por alansouza Ver Post
    Outro problema em questão que estou tendo aqui é com o Squind, onde faço um bloqueio de sites via lista, porém ele não aceita que eu libere um IP para ter acesso a um dos sites bloqueados. Segue as regras:

    acl sites_proibidos url_regex -i "/etc/squid/SitesProibidos"
    acl ips_permitidos src "/etc/squid/ips_permitidos"
    http_access allow ips_permitidos
    http_access deny sites_proibidos

    Alguém tem alguma sugestão para contornar isso? Pois, foi o chegue que já ligou aqui no reclamando que queria acessar o Facebook.. ¬¬'
    http_access allow ips_permitidos sites_proibidos
    http_access deny sites_proibidos

  7. #7

    Padrão Re: Liberar portas para passar pelo Hotspot do Mikrotik

    Citação Postado originalmente por iverton Ver Post
    http_access allow ips_permitidos sites_proibidos
    http_access deny sites_proibidos
    Fiz desta forma como você indicou, mas não teve efeito! Sites que estão na lista como Facebook e Orkut não foram acessados pelos endereços na lista de permitidos.

    Segue a baixo uma parta da topologia da rede aqui.

    [URL=http://imageshack.us/photo/my-images/855/topologia.jpg/]http://img855.imageshack.us/img855/7553/topologia.jpg

    Servidor Proxy/Squid Ubuntu
    Na rede 192.168.10.0/30

    Com IP 192.168.10.2 ligado na interface do MK com IP 192.168.10.1

    IP Estático

    -------

    MK Faz ligação com o Servidor Windows 2003 que fornece os serviços para rede interna, onde este serve DHCP, DNS e WINS. Em uma rede 192.168.1.0/24

    Entre o MK e o Server Win o IP é estático

    MK - 192.168.1.1
    Server Win - 192.168.1.2
    Última edição por alansouza; 26-08-2011 às 14:35.

  8. #8

    Padrão Re: Liberar portas para passar pelo Hotspot do Mikrotik

    mas nessa tua topologia o unico ip que chega até o servidor squid é o ip do mk, o 192.168.10.1, pois o nat mascara para esse ip, cuida no log qual ip que chega até o squid, dá um tail -f no access.log do squid e o unico ip que irá aparecer é o ip do mk.

  9. #9

    Padrão Re: Liberar portas para passar pelo Hotspot do Mikrotik

    De fato amigo, o IP que está indo para o Squind é o da saída da minha RB (192.168.10.1).

    Pelo jeito não poderei trabalhar em paralelo com ele não é?

    Ou tem alguma solução?

  10. #10

    Padrão Re: Liberar portas para passar pelo Hotspot do Mikrotik

    use o seu servidor como tproxy antes do mk, assim poderá fazer os bloqueios tranquilamente

  11. #11

    Padrão Re: Liberar portas para passar pelo Hotspot do Mikrotik

    Caros, liberar porta/site/ip no nat do hotspot acho que ficou bem claro. E quando temos um hotspot saindo pela ether 2 de uma rb na faixa 10.0.0.0/24 e algumas máquinas que não acessam a internet mas estão em faixa de ip diferente (10.0.1.0/24) na rede física onde roda esse hotspot que sai pela ether 2 conforme eu disse anteriormente e precisamos fazer um acesso remoto as essas máquina que estão na faixa de ip diferente? Seria preciso criar um pool de ip específico paras essas máquinas, né?