Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Buenas @maxwbr

    Código :
    /ip firewall mangle
    01 add chain=prerouting comment=CNPQ dst-address-list=LINK_NET
    02 add chain=prerouting comment="HTTPS LIVRE" disabled=yes dst-port=443 in-interface=REDE protocol=tcp
    03 add action=change-ttl chain=forward comment="Filtro Tracert / Traceroute" new-ttl=set:30 protocol=icmp
    04 add action=mark-connection chain=input in-interface=GVT new-connection-mark=GVT_CONN
    05 add action=mark-connection chain=input in-interface=NET new-connection-mark=NET_CONN
    06 add action=mark-routing chain=output connection-mark=GVT_CONN new-routing-mark=GVT_ROUTE out-interface=GVT
    07 add action=mark-routing chain=output connection-mark=NET_CONN new-routing-mark=NET_ROUTE out-interface=NET
    08 add action=mark-connection chain=prerouting connection-state=new in-interface=GVT new-connection-mark=GVT_CONN
    09 add action=mark-connection chain=prerouting connection-state=new in-interface=NET new-connection-mark=NET_CONN
    10 add chain=prerouting dst-address=10.10.10.0/24 in-interface=REDE
    11 add action=mark-connection chain=prerouting connection-state=new dst-address-type=!local in-interface=REDE new-connection-mark=GVT_CONN per-connection-classifier=both-addresses-and-ports:2/0
    12 add action=mark-connection chain=prerouting connection-state=new dst-address-type=!local in-interface=REDE new-connection-mark=NET_CONN per-connection-classifier=both-addresses-and-ports:2/1
    13 add action=mark-routing chain=prerouting connection-mark=GVT_CONN in-interface=REDE new-routing-mark=GVT_ROUTE
    14 add action=mark-routing chain=prerouting connection-mark=NET_CONN in-interface=REDE new-routing-mark=NET_ROUTE

    Sim, aquelas regras são desnecessárias. A questão das regras de input (regras 04 e 05) estão ali só para marcar a conexão, que na realidade já vão ser marcadas ao passar pelo chain prerouting (regras 08 e 09). Como o chain prerouting "acontece antes" do input, apesar das regras estarem abaixo das de input, elas vão "executar" primeiro. É questão do packet-flow, o pacote entra na RB vindo de qualquer lugar, ele primeiro cai no prerouting para ser analisado antes de cair na tabela de roteamento, aqui nesse passo TODAS as regras de prerouting são analisadas, na ordem em que se encontram no mangle, porém, não importa que outros chain tem antes ou pelo meio das regras de prerouting, somente as regras de prerouting serão analisadas. Após passar pelo prerouting ai sim cai no input, e no seu caso, quando o pacote chegar no input ele ja ta com a conexão marcada, não precisa marcar denovo.

    Logo após passa pro output, e quando cai no output as decisões de roteamento ja foram tomadas. A routerboard ja decidiu pra qual rota mandar e por qual porta sair. Portanto, marcar a tabela de roteamento do pacote nessa etapa não faz efeito nenhum, a não ser no caso de um pacote que está sendo gerado pela própria routerboard. No caso da própria routerboard gerar o pacote (quando por exemplo você usa a ferramente ping), esse pacote cai direto no chain output, pois não precisa passar pelo prerouting considerando que não é um trafego que está sendo "roteado" pela routerboard, e sim ela mesmo que esta gerando. Mesmo aqui nesse caso não adiantaria você fazer marcação de rota no chain output, pois como disse, o pacote ja passou pela tabela de roteamento. Gerar pacotes na própria routerboard para que usem uma tabela de roteamento específica deve ser feita com as opções da própria ferramenta, o ping por exemplo tem um parametro para especificar o uso de uma routing-table, o que fara que a routerboard use a tabela de roteamento especificada para essa conexão específica.

  2. Acho que tenho mto que aprender ainda!

    Eu coloquei as regras (linhas 06 e 07) que você sugeriu, mas não surtiu efeito. Eu me confundo muito ainda na ordem das regras, apesar de você ter falado q nesse caso a prerouting sempre será executada primeiro. Mas outra coisa que me confunde, é que na linha 11 e 12 já possui um prerounting com as marcações mas no caso essas linhas permite apenas conexões na interface REDE certo? Então por isso há a necessidade de criar outras prerouting para permitir a entrada pelos links das operadoras? Desculpe-me se as perguntas são idiotas demais, mas é que realmente eu ainda estou aprendendo a trabalhar com mikrotik.

    Código :
    01 add chain=prerouting comment=CNPQ dst-address-list=LINK_NET02 add chain=prerouting comment="HTTPS LIVRE" disabled=yes dst-port=443 in-interface=REDE protocol=tcp
    03 add action=change-ttl chain=forward comment="Filtro Tracert / Traceroute" new-ttl=set:30 protocol=icmp
    04 add action=mark-connection chain=prerouting connection-state=new in-interface=GVT new-connection-mark=GVT_CONN
    05 add action=mark-connection chain=prerouting connection-state=new in-interface=NET new-connection-mark=NET_CONN
    06 add action=mark-routing chain=prerouting connection-mark=GVT_CONN new-routing-mark=GVT_ROUTE src-address-type=local
    07 add action=mark-routing chain=prerouting connection-mark=NET_CONN new-routing-mark=NET_ROUTE src-address-type=local
    08 add chain=prerouting dst-address=10.10.10.0/24 in-interface=REDE
    09 add action=mark-connection chain=prerouting connection-state=new dst-address-type=!local in-interface=REDE new-connection-mark=GVT_CONN per-connection-classifier=both-addresses-and-ports:2/0
    10 add action=mark-connection chain=prerouting connection-state=new dst-address-type=!local in-interface=REDE new-connection-mark=NET_CONN per-connection-classifier=both-addresses-and-ports:2/1
    11 add action=mark-routing chain=prerouting connection-mark=GVT_CONN in-interface=REDE new-routing-mark=GVT_ROUTE
    12 add action=mark-routing chain=prerouting connection-mark=NET_CONN in-interface=REDE new-routing-mark=NET_ROUTE



  3. Deixa eu tirar uma dúvida aqui primeiro então @maxwbr, você tem algumas regras de filtro:

    Código :
    /ip firewall filter
    add chain=input in-interface=REDE
    add chain=input dst-port=8222 in-interface=GVT protocol=tcp
    add chain=input dst-port=8222 in-interface=NET protocol=tcp
    add action=drop chain=input

    Pelo Winbox, edita a regra da porta 8222 da interface GVT e la na guia Action,j habilita a opção Log. Dai abre o log do mikrotik e ve qual é o src-address das requisições que caem naquela regra.

    Depois desmarca o Log dessa interface, e edita a regra na interface NET e habilita o Log nela. Novamente, verifica o src-address dos pacotes que caem ali. Depois pode desabilitar o Log nessa regra também.

    Quero saber se os dois modens fazem ou não mascaramento ao repassar as conexões para essas portas para a sua routerboard.

  4. Olha ae @inquiery.

    O log da NET fica só em 3 linhas mesmo, sempre q tento me conectar. O da GVT gera mtos logs, mas se repetem igual a esses aí.

    Código :
    17:06:38 firewall,info entrando_GVT input: in:GVT out:(none), src-mac 2c:e4:12:a2:2b:71, proto TCP (ACK,PSH), 191.248.41.114:63569->192.168.25.71:8222, len 104 
    17:06:38 firewall,info entrando_GVT input: in:GVT out:(none), src-mac 2c:e4:12:a2:2b:71, proto TCP (ACK,PSH), 191.248.41.114:63569->192.168.25.71:8222, len 232 
    17:06:39 firewall,info entrando_GVT input: in:GVT out:(none), src-mac 2c:e4:12:a2:2b:71, proto TCP (ACK), 191.248.41.114:63569->192.168.25.71:8222, len 40 
    17:06:39 firewall,info entrando_GVT input: in:GVT out:(none), src-mac 2c:e4:12:a2:2b:71, proto TCP (ACK), 191.248.41.114:63569->192.168.25.71:8222, len 40 
    17:06:39 firewall,info entrando_GVT input: in:GVT out:(none), src-mac 2c:e4:12:a2:2b:71, proto TCP (ACK), 191.248.41.114:63569->192.168.25.71:8222, len 40 
    17:06:39 firewall,info entrando_GVT input: in:GVT out:(none), src-mac 2c:e4:12:a2:2b:71, proto TCP (ACK), 191.248.41.114:63569->192.168.25.71:8222, len 40 
    17:06:40 firewall,info entrando_GVT input: in:GVT out:(none), src-mac 2c:e4:12:a2:2b:71, proto TCP (ACK), 191.248.41.114:63569->192.168.25.71:8222, len 40 
    17:06:40 firewall,info entrando_GVT input: in:GVT out:(none), src-mac 2c:e4:12:a2:2b:71, proto TCP (ACK), 191.248.41.114:63569->192.168.25.71:8222, len 40


    Código :
    17:07:40 firewall,info entrando_NET input: in:NET out:(none), src-mac 14:cf:e2:64:21:61, proto TCP (SYN), 191.248.41.114:64094->192.168.0.103:8222, len 52 
    17:07:40 firewall,info entrando_NET input: in:NET out:(none), src-mac 14:cf:e2:64:21:61, proto TCP (SYN), 191.248.41.114:64095->192.168.0.103:8222, len 52 
    17:07:40 firewall,info entrando_NET input: in:NET out:(none), src-mac 14:cf:e2:64:21:61, proto TCP (SYN), 191.248.41.114:64096->192.168.0.103:8222, len 52
    Última edição por maxwbr; 07-05-2016 às 15:44.



  5. Eu achava que deveria funcionar, não to vendo o problema com as últimas regras.

    Tenta alterar elas (as regras 6 e 7), assim:

    Código :
    06 add action=mark-routing chain=prerouting connection-mark=GVT_CONN new-routing-mark=GVT_ROUTE src-address=192.168.25.71 
    07 add action=mark-routing chain=prerouting connection-mark=NET_CONN new-routing-mark=NET_ROUTE src-address=192.168.0.103

    Só como teste. Vou continuar pensando aqui o que pode ser que está dando, pois pelo que vi até agora deveria estar funcionando o acesso externo por qualquer link.






Tópicos Similares

  1. Respostas: 5
    Último Post: 01-09-2014, 19:58
  2. Respostas: 2
    Último Post: 08-10-2013, 12:56
  3. Respostas: 6
    Último Post: 17-05-2011, 14:14
  4. Direcionamento de Máquina para acesso externo
    Por cHaRaDa_Jr no fórum Servidores de Rede
    Respostas: 4
    Último Post: 03-03-2006, 04:51
  5. Erro de permissão para acesso externo ao VSFTPD
    Por laralc no fórum Servidores de Rede
    Respostas: 0
    Último Post: 17-01-2006, 15:41

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L