Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Citação Postado originalmente por berghetti Ver Post
    Isso, só que em vez de ser o IP 172.16.0.1, seria o IP do MK da mesma faixa do proxy. ( não era 192.168......?)

    esse já é o ambiente real... o proxy está com o ip 172.16.0.170, meu gateway é 172.16.0.1.. tudo nesta faixa de endereço está funcionando perfeitamente..

    mas tenho mais 3 redes para adicinar, mas não está funcionando quando habilito a regra do proxy.

  2. #22

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Citação Postado originalmente por berghetti Ver Post
    Isso, só que em vez de ser o IP 172.16.0.1, seria o IP do MK da mesma faixa do proxy. ( não era 192.168......?)

    esse já é o ambiente real... o proxy está com o ip 172.16.0.170, meu gateway é 172.16.0.1.. tudo nesta faixa de endereço está funcionando perfeitamente..

    mas tenho mais 3 redes para adicinar, mas não está funcionando quando habilito a regra do proxy.



  3. #23

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    você consegue pingar de uma maquina que está em outra faixa no proxy?

  4. #24

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    @berghetti ,

    rapaz, aparentemente conseguir resolver de uma forma um pouco estranha..

    assim que eu tiver plena certeza posto aqui pra tu ver.

    obrigado por enquanto.



  5. #25

    Padrão

    @berghetti ,

    veja o cenário... está funcionando bem até agora.. redirecionando tudo beleza.

    Veja essa questão:

    Tenho dois Links. Em ambos fiz o mascaramento, porém vi um problema .. somente no link padrão está acontecendo o redirecionamento.

    Quando coloco alguém pra navegar pelo link2 acontece que só navega de estiver passando fora do proxy, alguma sugestão?


    veja as regras abaixo:

    LINK1 = KONNET
    LINK2 = GVT

    obs: Lembra quando disse que resolvi de uma forma estranha.. colocando esse mascaramento funcionou.

    Código :
    /ip firewall nat
    add action=masquerade chain=srcnat comment="MASCARAMENTO KONNET" disabled=no \
        out-interface=ether1
    add action=masquerade chain=srcnat comment="MASCARAMENTO GVT" disabled=no \
        out-interface=ether9
    add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\
        no protocol=tcp src-address-list=REDES
    add action=accept chain=dstnat comment=\
        "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \
        src-address=!172.16.0.180
    add action=dst-nat chain=dstnat comment="REDIRECIONAR PARA O PROXY" disabled=\
        no dst-port=80 protocol=tcp src-address=!172.16.0.170 to-addresses=\
        172.16.0.170 to-ports=5128

  6. #26

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    opa, então, não entendi esses dois mascaramento, o que está como "PASSAR FORA DO PROXY" está conflitando com a regra "REDIRECIONAR PARA O PROXY", se a intenção foi adicionar um exceção para algum Ip, poderia fazer na propria regra do redirecionamento. se não foi essa a intenção, diz ai...

    add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\
    no protocol=tcp src-address-list=REDESadd action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.180
    quanto a questão de navegar pelo segundo link, você fez as marcações no mangle de quem você quer que saia pelo segundo link e criou as rotas? (se colocar o segundo como principal navega?, se sim é só fazer as marcações)

    e quanto a regra "MASCARAMENTO DAS REDES", se faz necessária? pois oque ela vai fazer é, quando um PC for acessar outro de rede diferente a conexão vai ser mascarada (se está funcionando só por causa dessa regra, da um conferi em todos os hosts se estão com as devidas rotas certinho).



  7. #27

    Post

    Citação Postado originalmente por berghetti Ver Post
    opa, então, não entendi esses dois mascaramento, o que está como "PASSAR FORA DO PROXY" está conflitando com a regra "REDIRECIONAR PARA O PROXY", se a intenção foi adicionar um exceção para algum Ip, poderia fazer na propria regra do redirecionamento. se não foi essa a intenção, diz ai...



    quanto a questão de navegar pelo segundo link, você fez as marcações no mangle de quem você quer que saia pelo segundo link e criou as rotas? (se colocar o segundo como principal navega?, se sim é só fazer as marcações)


    e quanto a regra "MASCARAMENTO DAS REDES", se faz necessária? pois oque ela vai fazer é, quando um PC for acessar outro de rede diferente a conexão vai ser mascarada (se está funcionando só por causa dessa regra, da um conferi em todos os hosts se estão com as devidas rotas certinho).


    Vou tentar te explicar e postar aqui.

    Código :
     
    1 - /ip firewall natadd action=masquerade chain=srcnat comment="MASCARAMENTO KONNET" disabled=no \ out-interface=ether1
     
    2 - add action=masquerade chain=srcnat comment="MASCARAMENTO GVT" disabled=no \ out-interface=ether9
     
    3- add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\ no protocol=tcp src-address-list=REDES
     
    4 - add action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.180
     
    5- add action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.1805- add action=dst-nat chain=dstnat comment="REDIRECIONAR PARA O PROXY" disabled=\ no dst-port=80 protocol=tcp src-address=!172.16.0.170 to-addresses=\ 172.16.0.170 to-ports=5128



    1- Mascaramento Link1
    2- Mascaramento Link2
    3- Mascaramento das Redes daqui. (Só está navegando por causa desse mascaramento, vou postar as rotas no linux)
    4- Essa regra é mais por organização, tendo em vista que não sou o único que trabalha na rede aqui, tudo nela passa fora do proxy.. exceto esse host 172.16.0.180 que é o meu, onde estou fazendo os testes, consigo o bloqueio da minha maquina com esse detalhe na regra já liberando outros.
    5- o Redirecionamento para o Proxy


    Código :
    Tabela de Roteamento IP do Kernel
    Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface
    0.0.0.0          172.16.0.1     255.255.255.255    UGH   0      0        0  eth0
    172.16.0.0     0.0.0.0          255.255.0.0           U       0      0        0  eth0
    0.0.0.0         172.16.0.1      0.0.0.0                  UG     0      0        0  eth0

    Nessa terceira rota não está dizendo que qualquer rede deve sair pelo gateway 172.16.0.1 ?

    Rotas e Mangle:


    Fiz as rotas e marcações sim; e quando coloca o meu host pra navegar pelo Link2 ele navega, mas só se estiver passando fora do proxy.


    Quando desabilito o Link1, todos navegam pelo Link2, ai sim o bloqueio acontece.
    Mas se quero alguma rede ou alguém navegue pelo Link2, só consegue se eu o fizer por fora do proxy.
    Se houver alguma coisa errada me fala que eu ajusto.


    no log do squid consta o host e não o gateway.

  8. #28

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Então seus problemas estão quase resolvidos rsrs.

    Só falta funcionar o segundo link.

    Me diz uma coisa, até porque não tenho experiência com proxy, quando um cliente passa pelo proxy e depois volta pro mikrotik, qual o IP chega no mikrotik, o IP do usuário ou o IP do proxy? ( veja em firewall connection, imagino que seja o IP do usuário, mas se puder me confirma)

    Aí em mangle você faz a marcação com a chain prerouting, src adres= IP do usuário action = Mark routing.

    Depois em IP>route você cria uma rota com essa marcação, tendo o gateway o link 2.



  9. #29

    Padrão

    @berghetti ,

    sim brother.. no Mikrotik aparecem os endereços dos usuários..

    marcações no mangle já está feita.. e nas rotas também.

    mangle:

    Código :
    /ip firewall mangle
    add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\
        "LINK GVT" passthrough=no protocol=tcp src-address=172.16.0.180

    Código :
    /ip route
    add comment="NAVEGARPELO LINK DA GVT" disabled=no distance=1 dst-address=\
        0.0.0.0/0 gateway=192.168.25.1 routing-mark="LINK GVT" scope=30 \
        target-scope=10

    Só falta realmente fazer com que passe no proxy quem estiver navegando por este link.

    lembrando que isso acima só "funciona/navega" se o host estiver passando fora do proxy, e este é o problema.
    ele tem que passar pelo proxy, é algum detalhe passando batido ai.

    bom, as regas que te mostrei até agora estão corretas, certo?

  10. #30

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Então @Pedroh, a princípio está certo, só aquela regra de mascaramento das redes que acho estranho.

    Quanto ao segundo link, antes dessa regra que você mostrou do mangle, crie outra e deixe acima dessa, crie essa regra:

    Action aceept src adres = seu ip, dst adrres = IP do proxy



  11. #31

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Criei a regra, mas mesmo assim não navega.

    As regras de mascaramento das redes acho estranho também, mas está funcionando..sem ela não navega.

  12. #32

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Você deixou a regra de aceept acima da regra de rout-mark?



  13. #33

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Citação Postado originalmente por berghetti Ver Post
    Você deixou a regra de aceept acima da regra de rout-mark?

    exatamente.

    Clique na imagem para uma versão maior

Nome:	         Screenshot_1.png
Visualizações:	32
Tamanho: 	12,4 KB
ID:      	61076

  14. #34

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Citação Postado originalmente por berghetti Ver Post
    Você deixou a regra de aceept acima da regra de rout-mark?
    fiz da outra forma também colocando meu host em src address.
    exatamente.

    Clique na imagem para uma versão maior

Nome:	         Screenshot_1.png
Visualizações:	32
Tamanho: 	12,4 KB
ID:      	61076



  15. #35

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Coloca todas as suas redes em uma regra de aceept, e retire essa regra de NAT "mascaramento das redes"

  16. #36

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    @berghetti,

    fala brother...
    seguinte,

    lembra daquela mascaramento que você não entendia???? pois bem removi ela...
    porém a unica coisa que percebi é que a rota que precisava ser feita é essa:
    sem essa rota não funcionava MESMO.
    Ok até aqui.

    route add -net 172.16.0.0 netmask 255.255.0.0 gw 172.16.0.1

    Largando aquele problema do segundo link que te falei, consto esse aqui.

    Clique na imagem para uma versão maior

Nome:	         logsquid.png
Visualizações:	34
Tamanho: 	141,7 KB
ID:      	61172

    percebi que estão havendo muitas requisições soberbas, veja que as redes em si estão passando pelo proxy, porém essas requisições estão um tanto quanto estranhas, e a maioria deles quando vou verificar é se sites chineses japoneses..

    como devo proceder com o firewall no MK, tendo vista que o proxy busca tudo pelo mikrotik?



  17. #37

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    só bloquear a porta 5128 (que é a que você usa para escutar no proxy) vindo da interface de internet.

  18. #38

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    ;;; Bloqueia Acesso Externo Proxy
    chain=input action=drop connection-state=new protocol=tcp in-interface=ether9 dst-port=5128
    seria essa a regra néh? já havia feito.. vou ficar em observação.



  19. #39

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    isso, faça em na cadeia forward também, e não esqueça do outro link que você tem para bloquear por ele tambem.

  20. #40

    Padrão Re: Proxy Em mesma Rede Não paralelo Ajuda

    Citação Postado originalmente por berghetti Ver Post
    isso, faça em na cadeia forward também, e não esqueça do outro link que você tem para bloquear por ele tambem.

    então,

    a regra não está pegando nenhum pacote.. muito estranho. a regra está como descrito acima.. porém nada..alguma sugestão?