Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Citação Postado originalmente por jamerfay Ver Post
    Luciano.
    Achei show de bola estas regras, até pq a na prática fica mto bom....
    simplifiquei todos os redirecionamentos do PCC pro concentrador...
    passa lisinho.
    Agora qdo fui simplificar os NATs....
    o redirecionamento de portas parou...
    mesmo assim mudei 20 regras pra apenas 4 XD bom pra caramba.
    Obrigado...
    "Quando eu crescer quero ser igual a vc"
    Poste dois exemplos dos que não deram certo pra gente tentar reduzir juntos e complementar o tópico se possíve.

    Obrigado pela participação jamerfay, juntos somos mais fortes.

  2. O cara é show mesmo (QUANDO CRESCER QUERO SER IGUAL A ELE).
    Estrelinha não!!!! Constelação pra ti... Sucesso...



  3. Valeu Luciano, ficou massa aqui, funcionou redondinho....

  4. Luciano, nem precisou...
    foi baianada minha aqui.
    aquela velha história de copiar e colar sem pensar antes.
    qdo fui olhar o erro tava tão estampado que fiquei até com vergonha.
    Desculpa ai...
    mais que ficou bom ficou... (:



  5. Luciano preciso de uma ajudinha sua...
    to usando esse balance pcc que vc montou esta perfeito, o probleminha agora que direcionei meu mkauth pra ser acessado direto da internet pela rede externa mas unica forma que encontei foi add uma porta pra acessalo vc sabe uma regra pra colocar no balance pcc pra liberar a porta 80 pro mkauth to acessando assim...
    http://www.airlifesf.com.br:8081/ e queria ver se tem como tirar a porta


    Citação Postado originalmente por m4d3 Ver Post
    Uma breve explanação sobre o DMZ

    Noção de compartimentação


    Os sistemas firewall permitem definir regras de acesso entre duas redes. No entanto, na prática, as empresas têm geralmente várias subredes com políticas de segurança diferentes. É a razão pela qual é necessário instalar arquitecturas de sistemas firewall que permitam isolar as diferentes redes da empresa: fala-se assim de “compartimentação das redes” (o termo "isolamento" é igualmente utilizado, às vezes).
    Arquitectura DMZ


    Quando certas máquinas da rede interna têm de ser acessíveis do exterior (servidor web, um servidor de serviço de mensagens, um servidor FTP público, etc.), é frequentemente necessário criar uma novo interface para uma rede à parte, acessível igualmente da rede interna como do exterior, sem, no entanto, correr o risco de comprometer a segurança da empresa. Fala-se assim de “zona desmilitarizada” (notado DMZ para DeMilitarized Zone) para designar esta zona isolada que aloja aplicações à disposição do público. O DMZ serve assim de “de zona tampão” entre a rede a proteger e a rede hostil.


    http://static.commentcamarche.net/pt...images-dmz.gif


    Os servidores situados no DMZ chamam-se “bastiões” devido à sua posição antes do posto na rede da empresa.

    A política de segurança aplicada no DMZ é geralmente a seguinte:

    • Tráfego da rede externa para o DMZ autorizado;
    • Tráfego da rede externa para a rede interna proibido;
    • Tráfego da rede interna para o DMZ autorizado;
    • Tráfego da rede interna para a rede externa autorizado;
    • Tráfego do DMZ para a rede interna proibido;
    • Tráfego do DMZ para a rede externa recusado.

    O DMZ possui por conseguinte um nível de segurança intermédio, mas o seu nível de segurança não é suficiente para armazenar dados críticos para a empresa.

    É necessário notar que é possível instalar uma DMZ internamente, para compartimentar a rede interna de acordo com diferentes níveis de protecção e assim evitar as intrusões que vêm do interior.

    No MikroTik o conceito de DMZ é pouco ou nada explorado em quase 100% dos load balances, de fato o assunto ainda não foi abordado, como esta cada dia mais comum a utilização de balances entre diversos links escrevi este pequeno tutorial para otimizar as configurações diminuindo sensivelmente o número de regras de redirecionamento NAT.

    É bastante comum ao acessar um load balance PCC ou até utilizando outros moldes encontrar o seguinte cenário na tabela NAT:

    1. [REDIRECIONAMENTO DE PORTAS SIMÉTRICO 1:1]
    add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=10.200.200.2 to-ports=80
    add action=dst-nat chain=dstnat dst-port=8282 protocol=tcp to-addresses=10.200.200.2 to-ports=8282
    add action=dst-nat chain=dstnat dst-port=5060 protocol=tcp to-addresses=10.200.200.2 to-ports=5060

    2. [REDIRECIONAMENTO DE TODAS AS ENTRADAS EM CADA LINK PARA O MESMO DESTINO]
    add action=dst-nat chain=dstnat in-interface=EthLinkA to-addresses=10.200.200.2
    add action=dst-nat chain=dstnat in-interface=EthLinkB to-addresses=10.200.200.2
    add action=dst-nat chain=dstnat in-interface=EthLinkC to-addresses=10.200.200.2
    add action=dst-nat chain=dstnat in-interface=EthLinkD to-addresses=10.200.200.2
    add action=dst-nat chain=dstnat in-interface=EthLinkE to-addresses=10.200.200.2
    add action=dst-nat chain=dstnat in-interface=EthLinkF to-addresses=10.200.200.2

    3. [REDIRECIONAMENTO DE PORTA ASSIMÉTRICO A:X]
    add action=dst-nat chain=dstnat dst-port=8292 protocol=tcp to-addresses=10.200.200.2 to-ports=8291

    4. [MASCARAMENTO POR LINK DE SAIDA]
    add action=masquerade chain=srcnat out-interface=EthLinkA src-address=0.0.0.0/0
    add action=masquerade chain=srcnat out-interface=EthLinkB src-address=0.0.0.0/0
    add action=masquerade chain=srcnat out-interface=EthLinkC src-address=0.0.0.0/0
    add action=masquerade chain=srcnat out-interface=EthLinkD src-address=0.0.0.0/0
    add action=masquerade chain=srcnat out-interface=EthLinkE src-address=0.0.0.0/0
    add action=masquerade chain=srcnat out-interface=EthLinkF src-address=0.0.0.0/0


    O cenário acima proposto não esta incorreto do ponto de vista prático porém podemos resumir muito as regras utilizando DMZ e um pouco de criatividade, vamos aos exemplos práticos:

    1 - [REDIRECIONAMENTO DE PORTAS SIMÉTRICO X:X - PARA TODAS AS PORTAS E PROTOCOLOS, EXCETO PARA PORTAS 8291 E 888 DO PROTOCOLO TCP]
    add action=dst-nat chain=dstnat comment="PC.DMZ" protocol=tcp dst-port=!8291,888 in-interface=!EthLB to-addresses=10.200.200.2

    2 - [REDIRECIONAMENTO DE TODAS AS ENTRADAS EM CADA LINK PARA O MESMO DESTINO]
    add action=dst-nat chain=dstnat in-interface=!EthLB to-addresses=10.200.200.2

    4 - [MASCARAMENTO DE TODOS OS LINKS EM APENAS UMA REGRA]
    add action=masquerade chain=srcnat out-interface=!EthLB src-address=0.0.0.0/0

    Alguma explicação extra:
    1. Na primeira regra estaremos direcionando todas as portas exceto o próprio acesso do winbox (8291) e uma porta pro serviço web (888) para a saida do balance (EthLB) normalmente onde teremos um servidor de autenticação dos clientes (10.200.200.2).

    2. Da forma que criamos a regra 1 esta segunda nem mesmo é necessária eliminando o bloco 2.

    3. O redirecionamento de portas assimétrico continua existindo devendo ser posicionado no inicio da tabela NAT antes mesmo do PC.DMZ.

    4. O mascaramento antes feito para cada interface de saída (sim o correto é informar sempre a out-interface) agora é feito apenas uma vez para todas as interfaces menos para a interface que se comunica com o servidor interno utilizando a flag de negação (!) e deve ser a ultima das regras.

    Resumo das regras:
    add action=dst-nat chain=dstnat dst-port=8292 comment="PC.WBX" protocol=tcp to-addresses=10.200.200.2 to-ports=8291
    add action=dst-nat chain=dstnat comment="PC.DMZ" protocol=tcp dst-port=!8291,888 in-interface=!EthLB to-addresses=10.200.200.2
    add action=masquerade chain=srcnat comment="PC.MSQ" out-interface=!EthLB src-address=0.0.0.0/0

    Conclusão:
    Mais limpo e organizado com muito mais funcionalidades e necessitando manutenção praticamente zero pois todas as portas externas já estão redirecionadas para o servidor interno.

    Quem já tiver um load balance PCC pode melhorar muito a eficiência do sistema e diminuir a necessidade constante de ficar adicionando novos redirecionamentos pode estar agora utlizar este método. Com isso transferimos as funções de firewall diretamente para o MikroTik autenticador conectado a porta EthLB, podemos trabalhar com o mascaramento das classes utilizadas diretamente no PCC com o envio de rotas para o MikroTik permitindo controles ainda mais precisos sobre o trafego da rede.


    Grande abraço.

    Luciano Rampanelli / M4D3






Tópicos Similares

  1. Mikrotik load balance pcc, cls isp em pppoe, apresentado no mum
    Por sosprovedor no fórum Servidores de Rede
    Respostas: 9
    Último Post: 21-04-2015, 15:38
  2. Respostas: 0
    Último Post: 15-10-2014, 09:23
  3. Respostas: 3
    Último Post: 13-10-2013, 20:25
  4. Respostas: 2
    Último Post: 12-10-2013, 13:06
  5. Respostas: 1
    Último Post: 01-12-2010, 18:58

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L