Redirecionamento de IP e Porta

[edykl]

Ola Pessoal,

Estou precisando da ajuda de vc pra fazer um redirecionamento de porta e ip,

minha duvida é tenho um pcc, eu faço o redirecionamento nele ou no servidor hotspot?

att
Edinei

[sergio]

Pelo visto terá que fazer nos dois, pois, pelo que comentou e imaginando não possuir IPs públicos e roteamento, deve ter ai NAT do NAT.

[edykl]

Certo Sergio, mas olha o q eu fiz.

no hotspot

/ip firewall nat add chain=dst-nat dst-port=1001 in-interface=Link protocol=tcp action=dst-nat to-address=10.0.0.37 to-ports=1001

no balance

/ip firewall nat add chain=dst-nat dst-port=1000 in-interface=pppoe-out1 protocol=tcp action=dst-nat to-address=10.3.3.2 to-ports=1001

ok funcionou pra essa porta, mas o rapaz tinha me pedido pra liberar mais outras 3 portas o q eu fiz a mesma coisa mudando apenas as portas (1000;10000;10001)

e essa ultimas 3 portas não estão funcionando, fiz o teste no Open Port Check Tool e só a porta 1001 esta liberada

[sergio]

Poderia colocar as 3 regras aqui, pois se fez a mesma coisa, deveria funcionar... ou eu não conseguir ver o erro.

[edykl]

Regra do Balance

add action=dst-nat chain=dstnat comment=cameras disabled=no dst-port=1001 \
in-interface=pppoe-out1 protocol=tcp to-addresses=10.3.3.2 to-ports=1001
add action=dst-nat chain=dstnat disabled=no dst-port=10001 in-interface=\
pppoe-out1 protocol=tcp to-addresses=10.3.3.2 to-ports=10001
add action=dst-nat chain=dstnat disabled=no dst-port=1000 in-interface=\
pppoe-out1 protocol=tcp to-addresses=10.3.3.2 to-ports=1000
add action=dst-nat chain=dstnat disabled=no dst-port=10000 in-interface=\
pppoe-out1 protocol=tcp to-addresses=10.3.3.2 to-ports=10000

no hotspot

add chain=dstnat in-interface=Link protocol=tcp dst-port=1001 action=dst-nat \
to-addresses=10.0.0.37 to-ports=1001 comment="D'lanfiori" disabled=no
add chain=dstnat in-interface=Link protocol=tcp dst-port=10001 action=dst-nat \
to-addresses=10.0.0.37 to-ports=10001 comment="" disabled=no
add chain=dstnat in-interface=Link protocol=tcp dst-port=10000 action=dst-nat \
to-addresses=10.0.0.37 to-ports=10000 comment="" disabled=no
add chain=dstnat in-interface=Link protocol=tcp dst-port=1000 action=dst-nat \
to-addresses=10.0.0.37 to-ports=1000 comment="" disabled=no

essas são as regras colocadas

[sergio]

Vejo um problema... Esse cliente está participando do PCC? provavelmente sim, pois ele esta atrás do hotspot, que é um host do PCC. Você está usando nas regras do nat apenas se chegar por um interface X (pppou-out1). Se a conexão estiver por outro link não funcionará. Deixe as regras sem mencionar as interfaces de entrada e testa.

[edykl]

Mesmo assim ainda não funcionou

[iorijanete]

E ai amigo você conseguiu estou com o mesmo problema que você e nada ainda
Tenho load e mk para autenticação com hotspot e não consigo abri porta de jeito nem um

[michaelbr]

Olá edykl e mestre sergio,

Deixa eu dar um modesto pitaco aki no assunto, sem querer contraria o grande sergio :P
Seguinte, nas suas regras do firewall, se retirar a interface de entrada você pode ter futuros problemas, pois sem especificar por que interface de entrada você vai destinar o tráfego, o ROS também vai redirecionar o trafego de saída, então se alguém de dentro da sua rede tentar acessar algum serviço nessas portas externas não vai conseguir, porque o ROS vai redirecionar para o seu servidor interno.
No caso do PCC, você pode resolver isso colocando uma negativa (!) na interface de entrada, então ficaria mais ou menos assim as suas regras de redirecionamento do balance:

Código :

add action=dst-nat chain=dstnat comment=cameras disabled=no dst-port=1001 in-interface=!interface_local protocol=tcp to-addresses=10.3.3.2 to-ports=1001
add action=dst-nat chain=dstnat disabled=no dst-port=10001 in-interface=!interface_local protocol=tcp to-addresses=10.3.3.2 to-ports=10001
add action=dst-nat chain=dstnat disabled=no dst-port=1000 in-interface=!interface_local protocol=tcp to-addresses=10.3.3.2 to-ports=1000
add action=dst-nat chain=dstnat disabled=no dst-port=10000 in-interface=!interface_local protocol=tcp to-addresses=10.3.3.2 to-ports=10000

Com isso, essas regras iriam valer para todo o tráfego que não tivesse como origem a interface_local (!interface_local), sendo que esse nome "interface_local" você tem que substituir pelo nome da sua interface que atende os seus usuários.

Beleza, agora quanto ao problema principal, onde você está dizendo que as suas regras não estão funcionando, muito provavelmente é por causa do seu PCC, porque o pacote TCP entra por uma conexão, e na hora de sair vai pela outra conexão do PCC, e é por isso que uma regra funciona e a outra não, ou uma hora funciona uma e outra hora funciona a outra, vira uma salada completa.
Para resolver esse problema você terá que adicionar algumas regras, com a finalidade de marcar a conexão na entrada, para que a mesma sempre saia pelo mesmo link.
Caso, vou tomar como exemplo, você tenha 2 links de saída, se você tiver mais é só adaptar as regras, faça o seguinte:

1º - Crie duas rotas estáticas no ROS:

Código :

/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-out1 routing-mark=rota1 scope=30 target-scope=10
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-out2 routing-mark=rota2 scope=30 target-scope=10

2º - Marque as conexões de entrada, e faça ele sair pelo mesmo link que entrou, no Firewall --> Mangle:

Código :

/ip firewall mangle add action=mark-connection chain=input disabled=no protocol=tcp dst-port=1000,1001,10000,10001 in-interface=pppoe-out1 new-connection-mark=rota1_conn passthrough=yes
/ip firewall mangle add action=mark-connection chain=input disabled=no protocol=tcp dst-port=1000,1001,10000,10001 in-interface=pppoe-out2 new-connection-mark=rota2_conn passthrough=yes
 
 
/ip firewall mangle add action=mark-routing chain=output connection-mark=rota1_conn disabled=no new-routing-mark=rota1 passthrough=yes
/ip firewall mangle add action=mark-routing chain=output connection-mark=rota2_conn disabled=no new-routing-mark=rota2 passthrough=yes

Pronto, agora toda a conexão solicitada de fora da sua rede interna que tenha como destino as portas 1000, 1001, 10000 e 10001 vão entrar e retornar pelo mesmo link, resolvendo assim o seu problema de conexão.

Um grande abraço a todos

[sergio]

Que nada Michael, estamos aqui para somar. Sem contar que eu não sei tudo né, e às vezes, a memória falha...

PCC é uma praia que estou dando uns pitacos agora, pois estou prestando serviços para uma empresa que utiliza, mas fora isso, usei muito pouco.

Valeu pela contribuição!!

[iorijanete]

ola michaelbr boa noite fiz o que vc indicou mas não consergui vc pode por gentileza me dizer a onde esta o meu erro minha rede e basica mente essa








regras do load para porta 1001
nat
add action=dst-nat chain=dstnat disabled=no dst-port=1001 in-interface=!saida \
protocol=tcp to-addresses=172.16.0.2 to-ports=1001


mangles

add action=mark-connection chain=input comment="abertura de porta" disabled=\
no in-interface="wlan3 network" new-connection-mark=rota3_conn \
passthrough=yes protocol=tcp

add action=mark-connection chain=input disabled=no in-interface=\
"wlan2 network" new-connection-mark=rota2_conn passthrough=yes protocol=\
tcp

add action=mark-connection chain=input disabled=no in-interface=\
"wlan1 network" new-connection-mark=rota1_conn passthrough=yes protocol=\
tcp

add action=mark-routing chain=output comment="abertura de porta saida" \
connection-mark=rota1_conn disabled=no new-routing-mark="rota 1" \
passthrough=yes

add action=mark-routing chain=output connection-mark=rota2_conn disabled=no \
new-routing-mark="rota 2" passthrough=yes

add action=mark-routing chain=output connection-mark=rota3_conn disabled=no \
new-routing-mark="rota 3" passthrough=yes


ip route

add comment="rotas para abertura de porta" disabled=no distance=1 \
dst-address=0.0.0.0/0 gateway="wlan1 network" scope=30 target-scope=10

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway="wlan2 network" \
scope=30 target-scope=10

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway="wlan3 network" \
scope=30 target-scope=10


essa e do mikrotik com hotspot

add action=dst-nat chain=dstnat comment="" disabled=no dst-port=1001 \
in-interface=!cliente protocol=tcp to-addresses=192.168.254.236 to-ports=\
1001

esse ip é o da minha maquina se vc pude dizer a onde estou errando ficarei muito agradecido
boa noite

[iorijanete]

ola michaelbr boa noite fiz o que vc indicou mas não consergui vc pode por gentileza me dizer a onde esta o meu erro minha rede e basica mente essa








regras do load para porta 1001
nat
add action=dst-nat chain=dstnat disabled=no dst-port=1001 in-interface=!saida \
protocol=tcp to-addresses=172.16.0.2 to-ports=1001


mangles

add action=mark-connection chain=input comment="abertura de porta" disabled=\
no in-interface="wlan3 network" new-connection-mark=rota3_conn \
passthrough=yes protocol=tcp

add action=mark-connection chain=input disabled=no in-interface=\
"wlan2 network" new-connection-mark=rota2_conn passthrough=yes protocol=\
tcp

add action=mark-connection chain=input disabled=no in-interface=\
"wlan1 network" new-connection-mark=rota1_conn passthrough=yes protocol=\
tcp

add action=mark-routing chain=output comment="abertura de porta saida" \
connection-mark=rota1_conn disabled=no new-routing-mark="rota 1" \
passthrough=yes

add action=mark-routing chain=output connection-mark=rota2_conn disabled=no \
new-routing-mark="rota 2" passthrough=yes

add action=mark-routing chain=output connection-mark=rota3_conn disabled=no \
new-routing-mark="rota 3" passthrough=yes


ip route

add comment="rotas para abertura de porta" disabled=no distance=1 \
dst-address=0.0.0.0/0 gateway="wlan1 network" scope=30 target-scope=10

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway="wlan2 network" \
scope=30 target-scope=10

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway="wlan3 network" \
scope=30 target-scope=10


essa e do mikrotik com hotspot

add action=dst-nat chain=dstnat comment="" disabled=no dst-port=1001 \
in-interface=!cliente protocol=tcp to-addresses=192.168.254.236 to-ports=\
1001

esse ip é o da minha maquina se vc puder dizer a onde estou errando ficarei muito agradecido
boa noite

[iorijanete]