+ Responder ao Tópico



  1. #1

    Padrão Proxy transparente sem nat, tem como?

    Ola pessoal, tem como fazer o proxy tranparente sem nat no MK?

    Obrigado

  2. #2

    Padrão Re: Proxy transparente sem nat, tem como?

    Cara, eu não sei como fazer no Mikrotik (tipo, os comandos)...mas posso dar uma idéia geral da situação:

    1 - Você deverá repassar IP válido aos seus clientes (já que não quer fazer NAT);
    2 - O Gateway dos seus clientes deverá ser o IP do Mikrotik;
    3 - Como o tráfego dos clientes passa pelo Mikrotik, basta agora você redirecionar todas as requisições para a port de destino 80 para serem redirecionadas para a porta 3128 (onde deverá ter o proxy do MT rodando).

    Tipo, não é NAT, porém, como vc vai redirecionar o tráfego da porta 80 para o proxy, todas as requisições HTTP vão sair com o IP do seu servidor (MT). Não tem como escapar disso (a não ser que vc não use mais o Mikrotik como servidor, mas sim um Linux, com kernel, iptables e squid recompilados com o patch do TPROXY, que esse sim, possibilita proxy transparent com o squid e ainda faz com que as requisições, ao invés de sairem com o IP do proxy, saiam com os IPs dos clientes - o TPROXY faz isso com spoofing de IP).



  3. #3

    Padrão Re: Proxy transparente sem nat, tem como?

    Citação Postado originalmente por roneyeduardo
    Cara, eu não sei como fazer no Mikrotik (tipo, os comandos)...mas posso dar uma idéia geral da situação:

    1 - Você deverá repassar IP válido aos seus clientes (já que não quer fazer NAT);
    2 - O Gateway dos seus clientes deverá ser o IP do Mikrotik;
    3 - Como o tráfego dos clientes passa pelo Mikrotik, basta agora você redirecionar todas as requisições para a port de destino 80 para serem redirecionadas para a porta 3128 (onde deverá ter o proxy do MT rodando).

    Tipo, não é NAT, porém, como vc vai redirecionar o tráfego da porta 80 para o proxy, todas as requisições HTTP vão sair com o IP do seu servidor (MT). Não tem como escapar disso (a não ser que vc não use mais o Mikrotik como servidor, mas sim um Linux, com kernel, iptables e squid recompilados com o patch do TPROXY, que esse sim, possibilita proxy transparent com o squid e ainda faz com que as requisições, ao invés de sairem com o IP do proxy, saiam com os IPs dos clientes - o TPROXY faz isso com spoofing de IP).
    Ola ...........
    isso seria bom tipo , pegar 2 maquina com MK e naquele micro q os clientes vão estar ligado , esse micro somente fazer cache mas repassar tudo pro segundo MK fazer ,controle de banda etc ..., ai o cache do primeiro Mk ficaria sem controle de banda pra q tudo q sair do mesmo sejam banda libereada, ou seja seria uma forma de tudo q o cliente acessar do cache seja a todo vapor..

    sera q daria pra fazer??? vamos mexer esse molho

  4. #4

    Padrão Re: Proxy transparente sem nat, tem como?

    Pessoal,

    Aqui tenho a seguinte configuração:

    01 - Servidor MK com nat, proxy transparente, DNS, e firewall;
    02 - AP MK com controle de banda, filtro de MAC, etc.

    Estava pensando em colocar um outro MK servidor entre o Servidor MK e o AP e tirar o controle de banda do AP e colocar no primeiro Servidor MK. Assim:

    1º - SERVIDOR MK (Controle de banda, firewall, DNS, NAT)

    2º - SERVIDOR MK (Proxy transparante e cache sem controle de banda)

    3º - AP BRIDGER MK (Filtro de MAC, bloqueio da rede, etc)

    Penso eu que dessa forma tudo quanto é conteúdo do cache não sofrerar controle de banda e assim, por exemplo, se uma página ou um arquivo estiver no cache ele vai a toda velocidade para o cliente.

    Alguém já fez isso antes ou tem essa configuração funcionando?

    Aguardo.



  5. #5

    Padrão Re: Proxy transparente sem nat, tem como?

    É uma grande idéia!
    Será q alguém mais experiente em MK poderia nos ajudar nessa idéia?!

  6. #6

    Padrão Re: Proxy transparente sem nat, tem como?

    Portela o que pega seria o nat, eu to pesquisando e testando para ver se consigo alguma coisa. Hoje eu trabalho com o mk roteado tenho 4 classe C invalida e uma valida. faco controle de p2p e deixo todo mundo com banda de 512 no mk. A banda contratada e feito no meu servidor principal que ta ligado no backbone da embratel. Todos os meus clientes chega com ip + mac neste servidor.

    Citação Postado originalmente por Portela
    Pessoal,

    Aqui tenho a seguinte configuração:

    01 - Servidor MK com nat, proxy transparente, DNS, e firewall;
    02 - AP MK com controle de banda, filtro de MAC, etc.

    Estava pensando em colocar um outro MK servidor entre o Servidor MK e o AP e tirar o controle de banda do AP e colocar no primeiro Servidor MK. Assim:

    1º - SERVIDOR MK (Controle de banda, firewall, DNS, NAT)

    2º - SERVIDOR MK (Proxy transparante e cache sem controle de banda)

    3º - AP BRIDGER MK (Filtro de MAC, bloqueio da rede, etc)

    Penso eu que dessa forma tudo quanto é conteúdo do cache não sofrerar controle de banda e assim, por exemplo, se uma página ou um arquivo estiver no cache ele vai a toda velocidade para o cliente.

    Alguém já fez isso antes ou tem essa configuração funcionando?

    Aguardo.



  7. #7

    Padrão Re: Proxy transparente sem nat, tem como?

    Opa roney meu controle de usuario e centralizado. fica tudo em um unico servidor que faz o controle de banda. No mk controlo apenas p2p e bloqueio algumas portas manjadas que os trojans e afins gostam de usar.

    Citação Postado originalmente por roneyeduardo
    Cara, eu não sei como fazer no Mikrotik (tipo, os comandos)...mas posso dar uma idéia geral da situação:

    1 - Você deverá repassar IP válido aos seus clientes (já que não quer fazer NAT);
    2 - O Gateway dos seus clientes deverá ser o IP do Mikrotik;
    3 - Como o tráfego dos clientes passa pelo Mikrotik, basta agora você redirecionar todas as requisições para a port de destino 80 para serem redirecionadas para a porta 3128 (onde deverá ter o proxy do MT rodando).

    Tipo, não é NAT, porém, como vc vai redirecionar o tráfego da porta 80 para o proxy, todas as requisições HTTP vão sair com o IP do seu servidor (MT). Não tem como escapar disso (a não ser que vc não use mais o Mikrotik como servidor, mas sim um Linux, com kernel, iptables e squid recompilados com o patch do TPROXY, que esse sim, possibilita proxy transparent com o squid e ainda faz com que as requisições, ao invés de sairem com o IP do proxy, saiam com os IPs dos clientes - o TPROXY faz isso com spoofing de IP).

  8. #8
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão Re: Proxy transparente sem nat, tem como?

    Citação Postado originalmente por oyama
    Opa roney meu controle de usuario e centralizado. fica tudo em um unico servidor que faz o controle de banda. No mk controlo apenas p2p e bloqueio algumas portas manjadas que os trojans e afins gostam de usar.
    Oyama, já que bloqueia portas manjadas... abaixo algumas regras do meu:

    11 ;;; Syn-flood
    chain=input protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept

    12 ;;; Syn-flood
    chain=forward protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept

    13 ;;; DoS
    chain=input protocol=icmp icmp-options=8:0 limit=1,5 action=accept

    14 ;;; DoS
    chain=forward protocol=icmp icmp-options=8:0 limit=1,5 action=accept

    18 ;;; Fragmentação
    chain=input in-interface=WAN-EBT fragment=yes action=log log-prefix="Pacote INPUT Fragmentado"

    31 ;;; NetBIOS
    chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp dst-port=135-139 action=drop

    32 chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=udp dst-port=135-139 action=drop

    33 ;;; Bug tradução NAT
    chain=output protocol=icmp connection-state=invalid action=drop

    34 ;;; Cabeçalhos inválidos
    chain=forward connection-state=invalid action=drop

    35 chain=input in-interface=WAN-EBT protocol=tcp tcp-flags=fin,psh,urg action=drop

    36 ;;; Drop Blaster Worm
    chain=virus protocol=tcp dst-port=135-139 action=drop

    37 ;;; Drop Messenger Worm
    chain=virus protocol=udp dst-port=135-139 action=drop

    38 ;;; Drop Blaster Worm
    chain=virus protocol=tcp dst-port=445 action=drop

    39 ;;; Drop Blaster Worm
    chain=virus protocol=udp dst-port=445 action=drop

    40 ;;; ________
    chain=virus protocol=tcp dst-port=593 action=drop

    41 ;;; ________
    chain=virus protocol=tcp dst-port=1024-1030 action=drop

    42 ;;; Drop MyDoom
    chain=virus protocol=tcp dst-port=1080 action=drop

    43 ;;; ________
    chain=virus protocol=tcp dst-port=1214 action=drop

    44 ;;; ndm requester
    chain=virus protocol=tcp dst-port=1363 action=drop

    45 ;;; ndm server
    chain=virus protocol=tcp dst-port=1364 action=drop

    46 ;;; screen cast
    chain=virus protocol=tcp dst-port=1368 action=drop

    47 ;;; hromgrafx
    chain=virus protocol=tcp dst-port=1373 action=drop

    48 ;;; cichlid
    chain=virus protocol=tcp dst-port=1377 action=drop

    49 ;;; Worm
    chain=virus protocol=tcp dst-port=1433-1434 action=drop

    50 ;;; Bagle Virus
    chain=virus protocol=tcp dst-port=2745 action=drop

    51 ;;; Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=2283 action=drop

    52 ;;; Drop Beagle
    chain=virus protocol=tcp dst-port=2535 action=drop

    53 ;;; Drop Beagle.C-K
    chain=virus protocol=tcp dst-port=2745 action=drop

    54 ;;; Drop MyDoom
    chain=virus protocol=tcp dst-port=3127-3128 action=drop

    55 ;;; Drop Backdoor OptixPro
    chain=virus protocol=tcp dst-port=3410 action=drop

    56 ;;; Worm
    chain=virus protocol=tcp dst-port=4444 action=drop
    57 ;;; Worm
    chain=virus protocol=udp dst-port=4444 action=drop

    58 ;;; Drop Sasser
    chain=virus protocol=tcp dst-port=5554 action=drop

    59 ;;; Drop Beagle.B
    chain=virus protocol=tcp dst-port=8866 action=drop

    60 ;;; Drop Dabber.A-B
    chain=virus protocol=tcp dst-port=9898 action=drop

    61 ;;; Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=10000 action=drop

    62 ;;; Drop MyDoom.B
    chain=virus protocol=tcp dst-port=10080 action=drop

    63 ;;; Drop NetBus
    chain=virus protocol=tcp dst-port=12345 action=drop

    64 ;;; Drop Kuang2
    chain=virus protocol=tcp dst-port=17300 action=drop

    65 ;;; Drop SubSeven
    chain=virus protocol=tcp dst-port=27374 action=drop

    66 ;;; Drop PhatBot, Agobot, Gaobot
    chain=virus protocol=tcp dst-port=65506 action=drop

    67 ;;; jump to the virus chain
    chain=forward action=jump jump-target=virus

    68 ;;; Port scanners to list
    chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    69 ;;; NMAP FIN Stealth scan
    chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    70 ;;; SYN/FIN scan
    chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    71 ;;; SYN/RST scan
    chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    72 ;;; FIN/PSH/URG scan
    chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    73 ;;; ALL/ALL scan
    chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    74 ;;; NMAP NULL scan
    chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    75 ;;; dropping port scanners
    chain=input src-address-list=port scanners action=drop




  9. #9
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão Re: Proxy transparente sem nat, tem como?

    Após aplicar os filtros acima, notarão que no ADDRESS LIST sempre aparecerão uns IPs com marca de negação (D), isto é normal, pois são tentativas que portscan onde os IPs automaticamente serão adicionados a lista e negados. Toda vez que reiniciar o MT essa lista será esvaziada.

  10. #10

    Padrão Re: Proxy transparente sem nat, tem como?

    :-D massa.. grande Sergio!!!
    Os meu scritp eu fiz baseado neste wiki:

    http://wiki.mikrotik.com/wiki/Securi...outerOs_Router



  11. #11

    Padrão Re: Proxy transparente sem nat, tem como?

    Se eu usar estas regras no meu mikrotik vai dar mais segurança?, como faço pra adicionar elas? se eu copiar e colar elas no console da certo? essas regras que colocamos no firewall entra logo em ação ou é preciso reiniciar o mikrotik?

    Desculpem as perguntas mais tenho essas dúvidas

    Obrigado.


    Citação Postado originalmente por sergio
    Citação Postado originalmente por oyama
    Opa roney meu controle de usuario e centralizado. fica tudo em um unico servidor que faz o controle de banda. No mk controlo apenas p2p e bloqueio algumas portas manjadas que os trojans e afins gostam de usar.
    Oyama, já que bloqueia portas manjadas... abaixo algumas regras do meu:

    11 ;;; Syn-flood
    chain=input protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept

    12 ;;; Syn-flood
    chain=forward protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept

    13 ;;; DoS
    chain=input protocol=icmp icmp-options=8:0 limit=1,5 action=accept

    14 ;;; DoS
    chain=forward protocol=icmp icmp-options=8:0 limit=1,5 action=accept

    18 ;;; Fragmentação
    chain=input in-interface=WAN-EBT fragment=yes action=log log-prefix="Pacote INPUT Fragmentado"

    31 ;;; NetBIOS
    chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp dst-port=135-139 action=drop

    32 chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=udp dst-port=135-139 action=drop

    33 ;;; Bug tradução NAT
    chain=output protocol=icmp connection-state=invalid action=drop

    34 ;;; Cabeçalhos inválidos
    chain=forward connection-state=invalid action=drop

    35 chain=input in-interface=WAN-EBT protocol=tcp tcp-flags=fin,psh,urg action=drop

    36 ;;; Drop Blaster Worm
    chain=virus protocol=tcp dst-port=135-139 action=drop

    37 ;;; Drop Messenger Worm
    chain=virus protocol=udp dst-port=135-139 action=drop

    38 ;;; Drop Blaster Worm
    chain=virus protocol=tcp dst-port=445 action=drop

    39 ;;; Drop Blaster Worm
    chain=virus protocol=udp dst-port=445 action=drop

    40 ;;; ________
    chain=virus protocol=tcp dst-port=593 action=drop

    41 ;;; ________
    chain=virus protocol=tcp dst-port=1024-1030 action=drop

    42 ;;; Drop MyDoom
    chain=virus protocol=tcp dst-port=1080 action=drop

    43 ;;; ________
    chain=virus protocol=tcp dst-port=1214 action=drop

    44 ;;; ndm requester
    chain=virus protocol=tcp dst-port=1363 action=drop

    45 ;;; ndm server
    chain=virus protocol=tcp dst-port=1364 action=drop

    46 ;;; screen cast
    chain=virus protocol=tcp dst-port=1368 action=drop

    47 ;;; hromgrafx
    chain=virus protocol=tcp dst-port=1373 action=drop

    48 ;;; cichlid
    chain=virus protocol=tcp dst-port=1377 action=drop

    49 ;;; Worm
    chain=virus protocol=tcp dst-port=1433-1434 action=drop

    50 ;;; Bagle Virus
    chain=virus protocol=tcp dst-port=2745 action=drop

    51 ;;; Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=2283 action=drop

    52 ;;; Drop Beagle
    chain=virus protocol=tcp dst-port=2535 action=drop

    53 ;;; Drop Beagle.C-K
    chain=virus protocol=tcp dst-port=2745 action=drop

    54 ;;; Drop MyDoom
    chain=virus protocol=tcp dst-port=3127-3128 action=drop

    55 ;;; Drop Backdoor OptixPro
    chain=virus protocol=tcp dst-port=3410 action=drop

    56 ;;; Worm
    chain=virus protocol=tcp dst-port=4444 action=drop
    57 ;;; Worm
    chain=virus protocol=udp dst-port=4444 action=drop

    58 ;;; Drop Sasser
    chain=virus protocol=tcp dst-port=5554 action=drop

    59 ;;; Drop Beagle.B
    chain=virus protocol=tcp dst-port=8866 action=drop

    60 ;;; Drop Dabber.A-B
    chain=virus protocol=tcp dst-port=9898 action=drop

    61 ;;; Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=10000 action=drop

    62 ;;; Drop MyDoom.B
    chain=virus protocol=tcp dst-port=10080 action=drop

    63 ;;; Drop NetBus
    chain=virus protocol=tcp dst-port=12345 action=drop

    64 ;;; Drop Kuang2
    chain=virus protocol=tcp dst-port=17300 action=drop

    65 ;;; Drop SubSeven
    chain=virus protocol=tcp dst-port=27374 action=drop

    66 ;;; Drop PhatBot, Agobot, Gaobot
    chain=virus protocol=tcp dst-port=65506 action=drop

    67 ;;; jump to the virus chain
    chain=forward action=jump jump-target=virus

    68 ;;; Port scanners to list
    chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    69 ;;; NMAP FIN Stealth scan
    chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    70 ;;; SYN/FIN scan
    chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    71 ;;; SYN/RST scan
    chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    72 ;;; FIN/PSH/URG scan
    chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    73 ;;; ALL/ALL scan
    chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    74 ;;; NMAP NULL scan
    chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    75 ;;; dropping port scanners
    chain=input src-address-list=port scanners action=drop


  12. #12

    Padrão Re: Proxy transparente sem nat, tem como?

    Só pra voltar à questão do tópico (sobre o proxy transparente) surgiu a questão do cache vir a toda velocidade mesmo com o controle de banda ativado. Bom, em servidores Linux comum dá pra vc aplicar um patch no squid chamado ZPH. Com ele, o próprio squid cria uma marca nos pacotes que estão em cache, ai dá pra criar uma queue/class no htb para dizer que todos os pacotes com tal marca sairá a toda velocidade. Tem um tópico relacionado à isso no Fórum de Proxy/NAT/Firewall (Squid-Cache FULL, parece que é esse o nome do tópico).

    Quanto ao MT, eu não sei se os desenvolvedores dele compilam o squid (webproxy) com esse patch...seria bom alguem que costuma usar o fórum oficial do MT perguntar...



  13. #13
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão Re: Proxy transparente sem nat, tem como?

    Citação Postado originalmente por oyama
    :-D massa.. grande Sergio!!!
    Os meu scritp eu fiz baseado neste wiki:

    http://wiki.mikrotik.com/wiki/Securi...outerOs_Router
    Tb tirei as minhas desse wiki e lendo a documentação... :-D

  14. #14
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão Re: Proxy transparente sem nat, tem como?

    Citação Postado originalmente por valeonline
    Se eu usar estas regras no meu mikrotik vai dar mais segurança?, como faço pra adicionar elas? se eu copiar e colar elas no console da certo? essas regras que colocamos no firewall entra logo em ação ou é preciso reiniciar o mikrotik?

    Desculpem as perguntas mais tenho essas dúvidas

    Obrigado.
    Sim, estas regras são para melhorar a segurança. Para adicionar acesse via ssh, vá para /ip firewall filter e use assim:
    add "copie e cole a regra a partir de chain e use comment="título de cada uma que pode copiar e colar".

    Não precisa reiniciar.. assim que adicioná-las já começam a valer...DETALHE: os filtros funcionam na ordem que são adicionados... caso queira mudar a posição; pelo winbox é só selecionar e arrastar de posição.



  15. #15
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão Re: Proxy transparente sem nat, tem como?

    Citação Postado originalmente por roneyeduardo
    Só pra voltar à questão do tópico (sobre o proxy transparente) surgiu a questão do cache vir a toda velocidade mesmo com o controle de banda ativado. Bom, em servidores Linux comum dá pra vc aplicar um patch no squid chamado ZPH. Com ele, o próprio squid cria uma marca nos pacotes que estão em cache, ai dá pra criar uma queue/class no htb para dizer que todos os pacotes com tal marca sairá a toda velocidade. Tem um tópico relacionado à isso no Fórum de Proxy/NAT/Firewall (Squid-Cache FULL, parece que é esse o nome do tópico).

    Quanto ao MT, eu não sei se os desenvolvedores dele compilam o squid (webproxy) com esse patch...seria bom alguem que costuma usar o fórum oficial do MT perguntar...
    Lembro do Cybershank mencionar algo a respeito disso, parece que tem como definir no MT...

  16. #16

    Padrão Re: Proxy transparente sem nat, tem como?

    Pessoal, se n me engano ja respondi essa pergunta aqui mas faz muito tempo, ja trabalho com mt ja faz um tempo da epoca do 2.8.23 e lembro que no manual do mt daquela epoca ensinava a fazer isso, eu sinceramente nunca fiz e vou fazer esses testes essa semana que vem, mas ja vou postar a solucao passada pela propria Mikrotik.

    Example of using global-in and global-out queues
    Let us consider a situation when you are using a Web-Proxy on your MikroTik router and you want to use bandwidth limitation to/from Internet and allow the maximum speed available if the clients use proxy-data (or do uploads to the router). In this situation you can use global-in and global-out virtual interfaces. Remember that data from Web-Proxy is sent to clients from Local Process. See this diagram for a better understanding of packet flow through the router.

    Assume that you already have configured your web-proxy:

    [[email protected]] ip web-proxy> print
    enabled: yes
    src-address: 10.5.8.104
    port: 8080
    hostname: proxy
    transparent-proxy: no
    parent-proxy: 0.0.0.0:0
    cache-administrator: webmaster
    max-object-size: 4096 kB
    cache-drive: system
    max-cache-size: none
    status: running
    reserved-for-cache: 100 MB
    Add a mangle rule for marking all packets coming from interface Public:

    /ip firewall mangle add in-interface=Public mark-flow=all-down action=accept
    Add a mangle rule for marking all packets coming from interface Local:

    /ip firewall mangle add in-interface=Local mark-flow=all-up action=accept
    Add a queue tree rule that will limit all traffic coming from interface Public (flow=all-down) to 512kbps:

    /queue tree add parent=global-in max-limit=524288 flow=all-down
    Add a queue tree rule that will limit all traffic coming from interface Local (flow=all-up) to 256kbps:

    /queue tree add parent=global-out max-limit=262144 flow=all-up
    Now the client downloads from the router (proxy) will be unlimited, but downloads from the Internet will be limited to 512K! The same goes for uploads - no limitation if you are uploading to router, but limit all uploads to Internet to 256K.


    Bom aproveito galera, 'e so estudar em cima disso aqui que da para fazermos bastante coisa.

    Espero ter ajudado.



  17. #17

    Padrão Re: Proxy transparente sem nat, tem como?

    No fórum dos gringos achei algo pode nos dar uma luz:
    http://forum.mikrotik.com/viewtopic....2259aa4ad773e9

    Alguém testa tmb para tirarmos conclusões!

  18. #18

    Padrão Re: Proxy transparente sem nat, tem como?

    Boa tiagomatias!! Só que eu acho que nesse SETUP o proxy transparente tá desativado...



  19. #19

    Padrão Re: Proxy transparente sem nat, tem como?

    Citação Postado originalmente por roneyeduardo
    Boa tiagomatias!! Só que eu acho que nesse SETUP o proxy transparente tá desativado...
    Na verdade roney esse ai so 'e um exemplo, tanto faz fazer ele com proxy transparente ou n.

    Abracos

  20. #20

    Padrão Re: Proxy transparente sem nat, tem como?

    Lendo o forum dos kringos pela indicação do Kryseck, achei interessante, agora vamos entender ?
    ================================================================================

    You can simply filter webproxy download traffic from all other traffic!


    / ip firewall mangle
    add chain=prerouting in-interface=public dst-address=1.1.1.1 protocol=tcp src-port=80 action=mark-connection new-connection-mark=proxy_conn passthrough=yes comment="Webproxy traffic"
    add chain=prerouting in-interface=public connection-mark=proxy_latvia_conn action=mark-packet new-packet-mark=proxy_download passthrough=no
    add chain=prerouting src-address-list=clients_business action=mark-connection new-connection-mark=client_conn passthrough=yes comment="Client traffic"
    add chain=prerouting connection-mark=client_conn dst-address-list=latviaaction=mark-packet new-packet-mark=client_traffic passthrough=no


    Then just place limitations on other traffic and leave webproxy traffic unlimited

    Postem ae o que entenderam, estou estudando !