Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Citação Postado originalmente por marconipcd Ver Post
    Obrigado pela resposta Trober, já exportei novamente as regras, quanto ao Endereço de loopback estarem violando a RFC1918, fora deste padrão(ainda não li realmente sobre a RFC1918, mais lerei.. hehehe), você acha que isso pode esta causando algum dos problemas que citei?
    De forma genérica, não deveria causar problemas. Entretanto, por eu não saber como estão outros filtros e regras de firewall, nos seus ativos, pode, na existência desses, apresentar problemas.

    Segundo o RFC1918, o endereço 172.0.0.0 é público, uma vez que os endereços privados, de mesma classe, iniciam em 172.16.0.0 e terminam em 172.31.255.255, ou seja 172.16.0.0/12. É uma boa prática filtrar endereços privados para que não "vazem" para uma rede pública, e que endereços que não são detidos por você, não acessem seus ativos.

    Analogicamente falando, é um postura igual a filtros de bogon.

    Analisando seu código, agora compactado, vi que na RB-Central, você não anunciou a interface e rede de acesso externo. Só para confirmar, essa RB que é sua saída para a internet. Correto?

    Saudações,

    Trober

  2. Só para confirmar, essa RB que é sua saída para a internet. Correto?
    Sim, antes dessa rb Central tenho uma Outra que Faz um Balanceamento PCC e estão conectadas e a Rb Central existe um rota default para rb Balanceamento, quanto as regras da Rb Firewall específicamente configurações do "firewall" são:

    /ip firewall address-list
    add address=69.171.247.0/24 disabled=yes list=facebook
    add address=66.220.153.0/24 disabled=yes list=facebook
    add address=192.168.20.10 list=excessao
    add address=192.168.20.5 list=excessao
    /ip firewall connection tracking
    set generic-timeout=3m tcp-established-timeout=10m tcp-syncookie=yes
    /ip firewall filter
    add chain=input dst-port=801 protocol=tcp
    add chain=input dst-port=10001 protocol=tcp
    add chain=input dst-port=10002 protocol=tcp
    add chain=input dst-port=15000 protocol=tcp
    add chain=input dst-port=36456 protocol=tcp
    add chain=input dst-port=36567 protocol=tcp
    add chain=input dst-port=36570 protocol=tcp
    add chain=input dst-port=37466 protocol=tcp
    add chain=input dst-port=47611 protocol=tcp
    add chain=input dst-port=27888 protocol=udp
    add chain=input dst-port=28888 protocol=udp
    add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook in-interface=LOJA protocol=tcp src-address-list=!excessao
    add action=drop chain=forward src-address-list=bloqueado
    /ip firewall mangle
    add action=mark-connection chain=prerouting comment=FACEBOOK dst-address-list=facebook dst-port=80 new-connection-mark=conn_facebook protocol=tcp
    add action=mark-packet chain=postrouting comment="dscp->12) => [packet_speedr_HIT]" new-packet-mark=packet_speedr_HIT passthrough=no src-address=192.168.20.13
    add action=mark-packet chain=postrouting comment="dscp->10 => [packet_speedr_HIT]" dscp=10 dst-address=192.168.20.13 new-packet-mark=packet_speedr_HIT passthrough=no
    add action=jump chain=prerouting comment=" PG CORTE" jump-target=hotspot
    /ip firewall nat
    add chain=srcnat protocol=ospf
    add action=masquerade chain=srcnat comment=COMPARTILHAMENTO out-interface=LINK100MB src-address=0.0.0.0/0
    add action=dst-nat chain=hotspot comment="PG CORTE PARA HOSTPOT + RADIUS" packet-mark=bloqueado protocol=tcp to-addresses=192.168.20.13 to-ports=89
    add action=dst-nat chain=dstnat comment="CREMOSINHO - REDIRECIONAMENTO IP VALIDO" dst-address=192.10.2.2 protocol=udp to-addresses=172.0.1.7
    add action=dst-nat chain=dstnat dst-address=192.10.2.2 protocol=tcp to-addresses=172.0.1.7
    add action=dst-nat chain=dstnat comment="JOSE ALBERTO DE LUNA BORGES - REDIRECIONAMENTO IP VALIDO" dst-address=10.10.0.2 protocol=tcp to-addresses=192.8.210.2
    add action=dst-nat chain=dstnat dst-address=10.10.0.2 protocol=udp to-addresses=192.8.210.2
    add action=dst-nat chain=dstnat comment="WJV COMPANY - IND. E COM. LTDA. - REDIRECIONAMENTO IP VALIDO" dst-address=11.11.0.2 protocol=tcp to-addresses=20.20.0.2
    add action=dst-nat chain=dstnat dst-address=11.11.0.2 protocol=udp to-addresses=20.20.0.2
    add action=dst-nat chain=dstnat comment="STANDALONE DIGITAL - REDIRECIONAMENTO IP VALIDO" dst-address=12.12.0.2 protocol=tcp to-addresses=192.168.20.14
    add action=dst-nat chain=dstnat dst-address=12.12.0.2 protocol=udp to-addresses=192.168.20.14
    add action=dst-nat chain=dstnat comment="SANTO ANTONIO MOTOS LTDA - REDIRECIONAMENTO IP VALIDO" dst-address=13.13.0.2 protocol=tcp to-addresses=192.5.125.2
    add action=dst-nat chain=dstnat dst-address=13.13.0.2 protocol=udp to-addresses=192.5.125.2
    add action=dst-nat chain=dstnat dst-address=14.14.0.2 protocol=tcp to-addresses=192.168.20.13
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO - MARCONI" dst-address=19.19.0.2 protocol=tcp to-addresses=192.168.20.13


    Agradeço mais uma vez as informações!



  3. É possível um convívio harmonioso[1] entre OSPF e NAT, mas requer alguns cuidados.

    A regra que destaco abaixo, que é uma porção do seu script, talvez seja um problema.

    Citação Postado originalmente por marconipcd Ver Post
    Código :
     /ip firewall nat add chain=srcnat protocol=ospf
    OSPF não deve ser "mascarado". Quando for fazer NAT na interface que tem OSPF em execução, o ideal é definir explicitamente a faixa de endereços (source address) dos clientes, excluindo assim, implicitamente, seus endereços de enlace.

    Você também precisa anunciar seus endereços de WAN, no OSPF (network). Somente na RB-Central você anunciará a rota padrão (as-type-1).

    [1] https://under-linux.org/f343/sequenc...49/#post624208

    Saudações,

    Trober

  4. OSPF não deve ser "mascarado". Quando for fazer NAT na interface que tem OSPF em execução, o ideal é definir explicitamente a faixa de endereços (source address) dos clientes, excluindo assim, implicitamente, seus endereços de enlace.
    a referida regra foi justamente uma tentativa de resolver este problema, tinha colocado ela em todas as rbs, mais pra ser sincero, não vi nenhuma mudança antes e depois de configura-la, então acho que poderia desabilita-la, o que acha?

    Você também precisa anunciar seus endereços de WAN, no OSPF (network). Somente na RB-Central você anunciará a rota padrão (as-type-1).
    Eu anuncie em network no OSPF meu endereço WAN, a dúvida é se a Interface WAN deve continuar passiva, como atualmente esta ou não??


    Obrigado mais uma vez, pela paciência e empenho em tentar me ajudar Trober, cada dia estou aprendendo um pouquinho mais com este forum, graças a Pessoas como você!



  5. Citação Postado originalmente por marconipcd Ver Post
    a referida regra foi justamente uma tentativa de resolver este problema, tinha colocado ela em todas as rbs, mais pra ser sincero, não vi nenhuma mudança antes e depois de configura-la, então acho que poderia desabilita-la, o que acha?
    Pode apagar. Em versões antigas do MikroTik RouterOS era necessário fazer uma tratativa ao protocolo OSPF, colocando uma exceção na regra mais ao topo (0 - zero). Atualmente não é mais necessário.

    Citação Postado originalmente por marconipcd Ver Post
    Eu anuncie em network no OSPF meu endereço WAN, a dúvida é se a Interface WAN deve continuar passiva, como atualmente esta ou não??
    Sim. Interfaces que não "conversam OSPF", devem ser declaradas como passivas.

    Não vejo sua WAN declarada em network, conforme seu código original.

    Citação Postado originalmente por marconipcd Ver Post
    Código :
    /routing ospf network
    add area=backbone network=172.0.0.1/32
    add area=backbone network=172.17.1.0/29
    Citação Postado originalmente por marconipcd Ver Post
    Obrigado mais uma vez
    Espero ter ajudado.

    Saudações,

    Trober






Tópicos Similares

  1. Squid pinga mais nao navega
    Por amsistemas no fórum Servidores de Rede
    Respostas: 5
    Último Post: 13-02-2009, 16:40
  2. Duvida de Gateway. Tosca mais nao tenho como Testar
    Por leonardosimas no fórum Servidores de Rede
    Respostas: 6
    Último Post: 16-10-2008, 16:01
  3. Ad-hoc pinga mais nao navega...
    Por andrei_piovesan no fórum Redes
    Respostas: 2
    Último Post: 25-09-2007, 17:19
  4. pinga mais nao conecta no explorer
    Por PolacoCWB no fórum Servidores de Rede
    Respostas: 9
    Último Post: 07-09-2005, 01:55
  5. Não tenho acesso a iInternet
    Por silvy no fórum Servidores de Rede
    Respostas: 23
    Último Post: 13-07-2005, 11:27

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L