+ Responder ao Tópico



  1. #1

    Question MikroTik - Pagina de Bloqueio com clientes PPPoE

    Olá pessoal boa tarde,
    sou iniciante ainda no MikroTik, comecei a mexer com ele esse ano, então tem várias coisas que ainda não sei, enfim,
    não sei se já responderam essa pergunta no forum mais eu procurei e não achei nenhum tópico a respeito,
    eu tenho um servidor MikroTik com mais ou menos 900 clientes conectados via PPPoE, até ai beleza,
    eu uso as classes 10.10.x.x, 10.11.x.x, 10.12.x.x e 10.13.x.x para os clientes, fazendo NAT para essas classes,
    ai eu pensei "como vou cortar os clientes que não pagaram ?", foi ai que comecei a desabilitar os clientes no "disable",
    mas o que acontecia, os clientes que estavam desabilitados ficavam tentando conectar e então travava todo meu servidor,
    o uso da CPU ia lá em cima, e olha que é um Xeon Quad, então foi ai que um pessoal me deu a dica de mudar a classe de IPs
    dos clientes que eu queria cortar, então eu troquei a primeira classe ficando assim 88.10.x.x, 88.11.x.x e etc,
    pois nessa classe 88.x.x.x não está fazendo NAT, assim o cliente não consegue navegar, OK ótimo resolveu meu problema momentaneamente !
    foi ai então que meu ilustre chefe me pediu pra que eu implantasse uma pagina de bloqueio, para que os clientes que estivessem
    cortados ao tentar navegar aparecesse essa pagina dizendo que foi cortado por falta de pagamento e etc,
    tá ai fui eu na logica, vou tentar fazer um NAT nessa classe 88.x.x.x para redirecionar pra alguma pagina que eu possa por no ar
    em algum outro servidor que eu tenho aqui (tenho outros 2 servidores, cpanel e dados), mas as minhas tentativas foram em vão,
    enfim kkkkkkkkk acho que consegui explicar a situação do meu servidor e meu problema,
    peço que por favor alguém me ajude ou me dê uma luz do que eu possa fazer pra colocar essa pagina de bloqueio !
    agradeço desde já !

    Att,
    Ricardo Cazati.

  2. #2

    Padrão

    Olá Ricardo.

    Sugiro você mudar essa classe 88 para uma classe de IP de rede interna. Mesmo que seja uma classe que não navega, o fato de ela existir dentro do seu MK pode bagunçar quem navegar para um site que esteja no IP 88.

    Para você direcionar uma faixa de IP para um endereço IP determinado (onde ficará sua página de bloqueio) deverá usar uma regra de dst-nat.

    Na wiki do RadiusNET tem exemplo das regras para fazer esse dst-nat (Tela_de_Bloqueio_para_quem_usa_PPPoE):

    http://wiki.radius.net.br/index.php?...quem_usa_PPPoE

    Acredito que seja você adaptar o exemplo para seu caso!

    Abraços
    Fabricio

  3. #3

    Padrão

    FabricioViana, agradeço a ajuda desde já,
    mas eu não entendi muito bem, vamos lá,
    minha rede interna que uso aqui na empresa é 10.15.x.x e 10.16.x.x,
    e as redes que uso pros clientes são 10.10.x.x, 10.11.x.x, 10.12.x.x e 10.13.x.x,
    eu devo criar uma por exemplo 10.17.x.x ? mas e ai o que aquela regra vai fazer com essa faixa de IP ?

    desculpa cara minha ignorância kkkkkkk é que eu não entendo muito bem ainda,
    se possível gostaria de te pedir para me explicar mais detalhadamente !

    obrigado.

  4. #4

  5. #5

    Padrão

    Citação Postado originalmente por ricardocazati Ver Post
    FabricioViana, agradeço a ajuda desde já,
    mas eu não entendi muito bem, vamos lá,
    minha rede interna que uso aqui na empresa é 10.15.x.x e 10.16.x.x,
    e as redes que uso pros clientes são 10.10.x.x, 10.11.x.x, 10.12.x.x e 10.13.x.x,
    eu devo criar uma por exemplo 10.17.x.x ? mas e ai o que aquela regra vai fazer com essa faixa de IP ?

    desculpa cara minha ignorância kkkkkkk é que eu não entendo muito bem ainda,
    se possível gostaria de te pedir para me explicar mais detalhadamente !

    obrigado.
    Certo, você está atribuindo a faixa 10.17.x.x aos clientes bloqueados. Crie a seguinte regra no no NAT do firewall do RouterOS:
    Código :
    /ip firewall nat
    add chain=dstnat src-address=10.17.0.0/16 action=netmap to-addresses=10.17.0.1 to-ports=80
    Essa regra pega todo tráfego vindo da faixa de IPs dos clientes bloqueados em qualquer protocolo e redireciona para a porta 80 da máquina no IP 10.17.0.1.
    Agora arrume um jeito de colocar um servidor web rodando no IP 10.17.0.1 e porta 80 e nele coloque a página com o aviso de bloqueio.

    Nota: eu usei /16 ali na regra por causa da forma como você descreveu as faixas, mas adapte aí para um /24 ou o que for seu caso.

  6. #6

    Padrão Re: MikroTik - Pagina de Bloqueio com clientes PPPoE

    Citação Postado originalmente por TsouzaR Ver Post
    Certo, você está atribuindo a faixa 10.17.x.x aos clientes bloqueados. Crie a seguinte regra no no NAT do firewall do RouterOS:
    Código :
    /ip firewall nat
    add chain=dstnat src-address=10.17.0.0/16 action=netmap to-addresses=10.17.0.1 to-ports=80
    Essa regra pega todo tráfego vindo da faixa de IPs dos clientes bloqueados em qualquer protocolo e redireciona para a porta 80 da máquina no IP 10.17.0.1.
    Agora arrume um jeito de colocar um servidor web rodando no IP 10.17.0.1 e porta 80 e nele coloque a página com o aviso de bloqueio.

    Nota: eu usei /16 ali na regra por causa da forma como você descreveu as faixas, mas adapte aí para um /24 ou o que for seu caso.
    cara não deu certo essa regra, eu fiz tudo certinho porém a faixa bloqueada nao acessa a pagina :/

  7. #7

    Padrão

    Citação Postado originalmente por ricardocazati Ver Post
    cara não deu certo essa regra, eu fiz tudo certinho porém a faixa bloqueada nao acessa a pagina :/

    alias a regra fez todos os clientes verem a pagina de bloqueio :S

  8. #8

    Padrão Re: MikroTik - Pagina de Bloqueio com clientes PPPoE

    Citação Postado originalmente por ricardocazati Ver Post
    cara não deu certo essa regra, eu fiz tudo certinho porém a faixa bloqueada nao acessa a pagina :/
    Como assim não acessa? Dá erro de conexão ou continua navegando normalmente?
    Pode ser que o path do endereço que os clientes bloqueados estão tentando acessar está sendo enviado para o servidor web, o que gera um erro 404. Você vai precisar usar o mod_rewrite do Apache, se estiver usando ele, para mandar todas requisições que chegarem para a página de bloqueio.

    Citação Postado originalmente por ricardocazati Ver Post
    alias a regra fez todos os clientes verem a pagina de bloqueio :S
    Aí é estranho. Essa regra manda só quem está na faixa 10.17.0.0/16 para o servidor web com a página de bloqueio. Tem certeza que está endereçando corretamente os clientes ativos e os bloqueados? Tem certeza que colocou a faixa dos bloqueados na regra?

  9. #9

    Padrão

    Citação Postado originalmente por TsouzaR Ver Post
    Como assim não acessa? Dá erro de conexão ou continua navegando normalmente?
    Pode ser que o path do endereço que os clientes bloqueados estão tentando acessar está sendo enviado para o servidor web, o que gera um erro 404. Você vai precisar usar o mod_rewrite do Apache, se estiver usando ele, para mandar todas requisições que chegarem para a página de bloqueio.


    Aí é estranho. Essa regra manda só quem está na faixa 10.17.0.0/16 para o servidor web com a página de bloqueio. Tem certeza que está endereçando corretamente os clientes ativos e os bloqueados? Tem certeza que colocou a faixa dos bloqueados na regra?

    deu certo cara ! obrigado
    além da regra de redirecionamento, tem que por uma regra de nat masquerade para que os ips consigam visualizar a pagina de bloqueio ! kkkkkkkkk

    obrigado a todos que me ajudaram