Ola pessoal, tem como fazer o proxy tranparente sem nat no MK?
Obrigado
-
21-09-2006, 04:42 #1
- Ingresso
- Apr 2004
- Posts
- 1.327
Proxy transparente sem nat, tem como?
-
22-09-2006, 08:44 #2
- Ingresso
- May 2005
- Posts
- 439
Re: Proxy transparente sem nat, tem como?
Cara, eu não sei como fazer no Mikrotik (tipo, os comandos)...mas posso dar uma idéia geral da situação:
1 - Você deverá repassar IP válido aos seus clientes (já que não quer fazer NAT);
2 - O Gateway dos seus clientes deverá ser o IP do Mikrotik;
3 - Como o tráfego dos clientes passa pelo Mikrotik, basta agora você redirecionar todas as requisições para a port de destino 80 para serem redirecionadas para a porta 3128 (onde deverá ter o proxy do MT rodando).
Tipo, não é NAT, porém, como vc vai redirecionar o tráfego da porta 80 para o proxy, todas as requisições HTTP vão sair com o IP do seu servidor (MT). Não tem como escapar disso (a não ser que vc não use mais o Mikrotik como servidor, mas sim um Linux, com kernel, iptables e squid recompilados com o patch do TPROXY, que esse sim, possibilita proxy transparent com o squid e ainda faz com que as requisições, ao invés de sairem com o IP do proxy, saiam com os IPs dos clientes - o TPROXY faz isso com spoofing de IP).
-
23-09-2006, 12:37 #3
- Ingresso
- Jul 2006
- Posts
- 113
Re: Proxy transparente sem nat, tem como?
Ola ...........
Postado originalmente por roneyeduardo
isso seria bom tipo , pegar 2 maquina com MK e naquele micro q os clientes vão estar ligado , esse micro somente fazer cache mas repassar tudo pro segundo MK fazer ,controle de banda etc ..., ai o cache do primeiro Mk ficaria sem controle de banda pra q tudo q sair do mesmo sejam banda libereada, ou seja seria uma forma de tudo q o cliente acessar do cache seja a todo vapor..
sera q daria pra fazer??? vamos mexer esse molho
-
23-09-2006, 19:07 #4
- Ingresso
- May 2005
- Posts
- 359
Re: Proxy transparente sem nat, tem como?
Pessoal,
Aqui tenho a seguinte configuração:
01 - Servidor MK com nat, proxy transparente, DNS, e firewall;
02 - AP MK com controle de banda, filtro de MAC, etc.
Estava pensando em colocar um outro MK servidor entre o Servidor MK e o AP e tirar o controle de banda do AP e colocar no primeiro Servidor MK. Assim:
1º - SERVIDOR MK (Controle de banda, firewall, DNS, NAT)
2º - SERVIDOR MK (Proxy transparante e cache sem controle de banda)
3º - AP BRIDGER MK (Filtro de MAC, bloqueio da rede, etc)
Penso eu que dessa forma tudo quanto é conteúdo do cache não sofrerar controle de banda e assim, por exemplo, se uma página ou um arquivo estiver no cache ele vai a toda velocidade para o cliente.
Alguém já fez isso antes ou tem essa configuração funcionando?
Aguardo.
-
23-09-2006, 19:44 #5
- Ingresso
- Jun 2006
- Posts
- 393
Re: Proxy transparente sem nat, tem como?
É uma grande idéia!
Será q alguém mais experiente em MK poderia nos ajudar nessa idéia?!
-
24-09-2006, 07:31 #6
- Ingresso
- Apr 2004
- Posts
- 1.327
Re: Proxy transparente sem nat, tem como?
Portela o que pega seria o nat, eu to pesquisando e testando para ver se consigo alguma coisa. Hoje eu trabalho com o mk roteado tenho 4 classe C invalida e uma valida. faco controle de p2p e deixo todo mundo com banda de 512 no mk. A banda contratada e feito no meu servidor principal que ta ligado no backbone da embratel. Todos os meus clientes chega com ip + mac neste servidor.
Postado originalmente por Portela
-
24-09-2006, 07:35 #7
- Ingresso
- Apr 2004
- Posts
- 1.327
Re: Proxy transparente sem nat, tem como?
Opa roney meu controle de usuario e centralizado. fica tudo em um unico servidor que faz o controle de banda. No mk controlo apenas p2p e bloqueio algumas portas manjadas que os trojans e afins gostam de usar.
Postado originalmente por roneyeduardo
-
24-09-2006, 10:21 #8 Re: Proxy transparente sem nat, tem como?
Oyama, já que bloqueia portas manjadas... abaixo algumas regras do meu: Postado originalmente por oyama
11 ;;; Syn-flood
chain=input protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept
12 ;;; Syn-flood
chain=forward protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept
13 ;;; DoS
chain=input protocol=icmp icmp-options=8:0 limit=1,5 action=accept
14 ;;; DoS
chain=forward protocol=icmp icmp-options=8:0 limit=1,5 action=accept
18 ;;; Fragmentação
chain=input in-interface=WAN-EBT fragment=yes action=log log-prefix="Pacote INPUT Fragmentado"
31 ;;; NetBIOS
chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp dst-port=135-139 action=drop
32 chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=udp dst-port=135-139 action=drop
33 ;;; Bug tradução NAT
chain=output protocol=icmp connection-state=invalid action=drop
34 ;;; Cabeçalhos inválidos
chain=forward connection-state=invalid action=drop
35 chain=input in-interface=WAN-EBT protocol=tcp tcp-flags=fin,psh,urg action=drop
36 ;;; Drop Blaster Worm
chain=virus protocol=tcp dst-port=135-139 action=drop
37 ;;; Drop Messenger Worm
chain=virus protocol=udp dst-port=135-139 action=drop
38 ;;; Drop Blaster Worm
chain=virus protocol=tcp dst-port=445 action=drop
39 ;;; Drop Blaster Worm
chain=virus protocol=udp dst-port=445 action=drop
40 ;;; ________
chain=virus protocol=tcp dst-port=593 action=drop
41 ;;; ________
chain=virus protocol=tcp dst-port=1024-1030 action=drop
42 ;;; Drop MyDoom
chain=virus protocol=tcp dst-port=1080 action=drop
43 ;;; ________
chain=virus protocol=tcp dst-port=1214 action=drop
44 ;;; ndm requester
chain=virus protocol=tcp dst-port=1363 action=drop
45 ;;; ndm server
chain=virus protocol=tcp dst-port=1364 action=drop
46 ;;; screen cast
chain=virus protocol=tcp dst-port=1368 action=drop
47 ;;; hromgrafx
chain=virus protocol=tcp dst-port=1373 action=drop
48 ;;; cichlid
chain=virus protocol=tcp dst-port=1377 action=drop
49 ;;; Worm
chain=virus protocol=tcp dst-port=1433-1434 action=drop
50 ;;; Bagle Virus
chain=virus protocol=tcp dst-port=2745 action=drop
51 ;;; Drop Dumaru.Y
chain=virus protocol=tcp dst-port=2283 action=drop
52 ;;; Drop Beagle
chain=virus protocol=tcp dst-port=2535 action=drop
53 ;;; Drop Beagle.C-K
chain=virus protocol=tcp dst-port=2745 action=drop
54 ;;; Drop MyDoom
chain=virus protocol=tcp dst-port=3127-3128 action=drop
55 ;;; Drop Backdoor OptixPro
chain=virus protocol=tcp dst-port=3410 action=drop
56 ;;; Worm
chain=virus protocol=tcp dst-port=4444 action=drop
57 ;;; Worm
chain=virus protocol=udp dst-port=4444 action=drop
58 ;;; Drop Sasser
chain=virus protocol=tcp dst-port=5554 action=drop
59 ;;; Drop Beagle.B
chain=virus protocol=tcp dst-port=8866 action=drop
60 ;;; Drop Dabber.A-B
chain=virus protocol=tcp dst-port=9898 action=drop
61 ;;; Drop Dumaru.Y
chain=virus protocol=tcp dst-port=10000 action=drop
62 ;;; Drop MyDoom.B
chain=virus protocol=tcp dst-port=10080 action=drop
63 ;;; Drop NetBus
chain=virus protocol=tcp dst-port=12345 action=drop
64 ;;; Drop Kuang2
chain=virus protocol=tcp dst-port=17300 action=drop
65 ;;; Drop SubSeven
chain=virus protocol=tcp dst-port=27374 action=drop
66 ;;; Drop PhatBot, Agobot, Gaobot
chain=virus protocol=tcp dst-port=65506 action=drop
67 ;;; jump to the virus chain
chain=forward action=jump jump-target=virus
68 ;;; Port scanners to list
chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
69 ;;; NMAP FIN Stealth scan
chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
70 ;;; SYN/FIN scan
chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
71 ;;; SYN/RST scan
chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
72 ;;; FIN/PSH/URG scan
chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
73 ;;; ALL/ALL scan
chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
74 ;;; NMAP NULL scan
chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
75 ;;; dropping port scanners
chain=input src-address-list=port scanners action=drop
-
24-09-2006, 10:23 #9 Re: Proxy transparente sem nat, tem como?
Após aplicar os filtros acima, notarão que no ADDRESS LIST sempre aparecerão uns IPs com marca de negação (D), isto é normal, pois são tentativas que portscan onde os IPs automaticamente serão adicionados a lista e negados. Toda vez que reiniciar o MT essa lista será esvaziada.
-
24-09-2006, 12:35 #10
- Ingresso
- Apr 2004
- Posts
- 1.327
Re: Proxy transparente sem nat, tem como?
:-D massa.. grande Sergio!!!
Os meu scritp eu fiz baseado neste wiki:
http://wiki.mikrotik.com/wiki/Securi...outerOs_Router
-
24-09-2006, 13:14 #11
- Ingresso
- Jan 2006
- Posts
- 127
Re: Proxy transparente sem nat, tem como?
Se eu usar estas regras no meu mikrotik vai dar mais segurança?, como faço pra adicionar elas? se eu copiar e colar elas no console da certo? essas regras que colocamos no firewall entra logo em ação ou é preciso reiniciar o mikrotik?
Desculpem as perguntas mais tenho essas dúvidas
Obrigado.
Postado originalmente por sergio
Oyama, já que bloqueia portas manjadas... abaixo algumas regras do meu: Postado originalmente por oyama
11 ;;; Syn-flood
chain=input protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept
12 ;;; Syn-flood
chain=forward protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept
13 ;;; DoS
chain=input protocol=icmp icmp-options=8:0 limit=1,5 action=accept
14 ;;; DoS
chain=forward protocol=icmp icmp-options=8:0 limit=1,5 action=accept
18 ;;; Fragmentação
chain=input in-interface=WAN-EBT fragment=yes action=log log-prefix="Pacote INPUT Fragmentado"
31 ;;; NetBIOS
chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp dst-port=135-139 action=drop
32 chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=udp dst-port=135-139 action=drop
33 ;;; Bug tradução NAT
chain=output protocol=icmp connection-state=invalid action=drop
34 ;;; Cabeçalhos inválidos
chain=forward connection-state=invalid action=drop
35 chain=input in-interface=WAN-EBT protocol=tcp tcp-flags=fin,psh,urg action=drop
36 ;;; Drop Blaster Worm
chain=virus protocol=tcp dst-port=135-139 action=drop
37 ;;; Drop Messenger Worm
chain=virus protocol=udp dst-port=135-139 action=drop
38 ;;; Drop Blaster Worm
chain=virus protocol=tcp dst-port=445 action=drop
39 ;;; Drop Blaster Worm
chain=virus protocol=udp dst-port=445 action=drop
40 ;;; ________
chain=virus protocol=tcp dst-port=593 action=drop
41 ;;; ________
chain=virus protocol=tcp dst-port=1024-1030 action=drop
42 ;;; Drop MyDoom
chain=virus protocol=tcp dst-port=1080 action=drop
43 ;;; ________
chain=virus protocol=tcp dst-port=1214 action=drop
44 ;;; ndm requester
chain=virus protocol=tcp dst-port=1363 action=drop
45 ;;; ndm server
chain=virus protocol=tcp dst-port=1364 action=drop
46 ;;; screen cast
chain=virus protocol=tcp dst-port=1368 action=drop
47 ;;; hromgrafx
chain=virus protocol=tcp dst-port=1373 action=drop
48 ;;; cichlid
chain=virus protocol=tcp dst-port=1377 action=drop
49 ;;; Worm
chain=virus protocol=tcp dst-port=1433-1434 action=drop
50 ;;; Bagle Virus
chain=virus protocol=tcp dst-port=2745 action=drop
51 ;;; Drop Dumaru.Y
chain=virus protocol=tcp dst-port=2283 action=drop
52 ;;; Drop Beagle
chain=virus protocol=tcp dst-port=2535 action=drop
53 ;;; Drop Beagle.C-K
chain=virus protocol=tcp dst-port=2745 action=drop
54 ;;; Drop MyDoom
chain=virus protocol=tcp dst-port=3127-3128 action=drop
55 ;;; Drop Backdoor OptixPro
chain=virus protocol=tcp dst-port=3410 action=drop
56 ;;; Worm
chain=virus protocol=tcp dst-port=4444 action=drop
57 ;;; Worm
chain=virus protocol=udp dst-port=4444 action=drop
58 ;;; Drop Sasser
chain=virus protocol=tcp dst-port=5554 action=drop
59 ;;; Drop Beagle.B
chain=virus protocol=tcp dst-port=8866 action=drop
60 ;;; Drop Dabber.A-B
chain=virus protocol=tcp dst-port=9898 action=drop
61 ;;; Drop Dumaru.Y
chain=virus protocol=tcp dst-port=10000 action=drop
62 ;;; Drop MyDoom.B
chain=virus protocol=tcp dst-port=10080 action=drop
63 ;;; Drop NetBus
chain=virus protocol=tcp dst-port=12345 action=drop
64 ;;; Drop Kuang2
chain=virus protocol=tcp dst-port=17300 action=drop
65 ;;; Drop SubSeven
chain=virus protocol=tcp dst-port=27374 action=drop
66 ;;; Drop PhatBot, Agobot, Gaobot
chain=virus protocol=tcp dst-port=65506 action=drop
67 ;;; jump to the virus chain
chain=forward action=jump jump-target=virus
68 ;;; Port scanners to list
chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
69 ;;; NMAP FIN Stealth scan
chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
70 ;;; SYN/FIN scan
chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
71 ;;; SYN/RST scan
chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
72 ;;; FIN/PSH/URG scan
chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
73 ;;; ALL/ALL scan
chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
74 ;;; NMAP NULL scan
chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
75 ;;; dropping port scanners
chain=input src-address-list=port scanners action=drop
-
24-09-2006, 16:12 #12
- Ingresso
- May 2005
- Posts
- 439
Re: Proxy transparente sem nat, tem como?
Só pra voltar à questão do tópico (sobre o proxy transparente) surgiu a questão do cache vir a toda velocidade mesmo com o controle de banda ativado. Bom, em servidores Linux comum dá pra vc aplicar um patch no squid chamado ZPH. Com ele, o próprio squid cria uma marca nos pacotes que estão em cache, ai dá pra criar uma queue/class no htb para dizer que todos os pacotes com tal marca sairá a toda velocidade. Tem um tópico relacionado à isso no Fórum de Proxy/NAT/Firewall (Squid-Cache FULL, parece que é esse o nome do tópico).
Quanto ao MT, eu não sei se os desenvolvedores dele compilam o squid (webproxy) com esse patch...seria bom alguem que costuma usar o fórum oficial do MT perguntar...
-
24-09-2006, 20:48 #13 Re: Proxy transparente sem nat, tem como?
Tb tirei as minhas desse wiki e lendo a documentação... :-D Postado originalmente por oyama
-
24-09-2006, 20:51 #14 Re: Proxy transparente sem nat, tem como?
Sim, estas regras são para melhorar a segurança. Para adicionar acesse via ssh, vá para /ip firewall filter e use assim: Postado originalmente por valeonline
add "copie e cole a regra a partir de chain e use comment="título de cada uma que pode copiar e colar".
Não precisa reiniciar.. assim que adicioná-las já começam a valer...DETALHE: os filtros funcionam na ordem que são adicionados... caso queira mudar a posição; pelo winbox é só selecionar e arrastar de posição.
-
24-09-2006, 20:54 #15 Re: Proxy transparente sem nat, tem como?
Lembro do Cybershank mencionar algo a respeito disso, parece que tem como definir no MT... Postado originalmente por roneyeduardo
-
24-09-2006, 21:27 #16
- Ingresso
- Mar 2005
- Localização
- Porto Velho - Rondônia
- Posts
- 611
Re: Proxy transparente sem nat, tem como?
Pessoal, se n me engano ja respondi essa pergunta aqui mas faz muito tempo, ja trabalho com mt ja faz um tempo da epoca do 2.8.23 e lembro que no manual do mt daquela epoca ensinava a fazer isso, eu sinceramente nunca fiz e vou fazer esses testes essa semana que vem, mas ja vou postar a solucao passada pela propria Mikrotik.
Example of using global-in and global-out queues
Let us consider a situation when you are using a Web-Proxy on your MikroTik router and you want to use bandwidth limitation to/from Internet and allow the maximum speed available if the clients use proxy-data (or do uploads to the router). In this situation you can use global-in and global-out virtual interfaces. Remember that data from Web-Proxy is sent to clients from Local Process. See this diagram for a better understanding of packet flow through the router.
Assume that you already have configured your web-proxy:
[admin@MikroTik] ip web-proxy> print
enabled: yes
src-address: 10.5.8.104
port: 8080
hostname: proxy
transparent-proxy: no
parent-proxy: 0.0.0.0:0
cache-administrator: webmaster
max-object-size: 4096 kB
cache-drive: system
max-cache-size: none
status: running
reserved-for-cache: 100 MB
Add a mangle rule for marking all packets coming from interface Public:
/ip firewall mangle add in-interface=Public mark-flow=all-down action=accept
Add a mangle rule for marking all packets coming from interface Local:
/ip firewall mangle add in-interface=Local mark-flow=all-up action=accept
Add a queue tree rule that will limit all traffic coming from interface Public (flow=all-down) to 512kbps:
/queue tree add parent=global-in max-limit=524288 flow=all-down
Add a queue tree rule that will limit all traffic coming from interface Local (flow=all-up) to 256kbps:
/queue tree add parent=global-out max-limit=262144 flow=all-up
Now the client downloads from the router (proxy) will be unlimited, but downloads from the Internet will be limited to 512K! The same goes for uploads - no limitation if you are uploading to router, but limit all uploads to Internet to 256K.
Bom aproveito galera, 'e so estudar em cima disso aqui que da para fazermos bastante coisa.
Espero ter ajudado.
-
24-09-2006, 21:40 #17
- Ingresso
- Jun 2006
- Posts
- 393
Re: Proxy transparente sem nat, tem como?
No fórum dos gringos achei algo pode nos dar uma luz:
http://forum.mikrotik.com/viewtopic....2259aa4ad773e9
Alguém testa tmb para tirarmos conclusões!
-
25-09-2006, 13:32 #18
- Ingresso
- May 2005
- Posts
- 439
Re: Proxy transparente sem nat, tem como?
Boa tiagomatias!! Só que eu acho que nesse SETUP o proxy transparente tá desativado...
-
25-09-2006, 15:15 #19
- Ingresso
- Mar 2005
- Localização
- Porto Velho - Rondônia
- Posts
- 611
Re: Proxy transparente sem nat, tem como?
Na verdade roney esse ai so 'e um exemplo, tanto faz fazer ele com proxy transparente ou n. Postado originalmente por roneyeduardo
Abracos
-
25-09-2006, 18:00 #20 Re: Proxy transparente sem nat, tem como?
Lendo o forum dos kringos pela indicação do Kryseck, achei interessante, agora vamos entender ?
================================================================================
You can simply filter webproxy download traffic from all other traffic!
/ ip firewall mangle
add chain=prerouting in-interface=public dst-address=1.1.1.1 protocol=tcp src-port=80 action=mark-connection new-connection-mark=proxy_conn passthrough=yes comment="Webproxy traffic"
add chain=prerouting in-interface=public connection-mark=proxy_latvia_conn action=mark-packet new-packet-mark=proxy_download passthrough=no
add chain=prerouting src-address-list=clients_business action=mark-connection new-connection-mark=client_conn passthrough=yes comment="Client traffic"
add chain=prerouting connection-mark=client_conn dst-address-list=latviaaction=mark-packet new-packet-mark=client_traffic passthrough=no
Then just place limitations on other traffic and leave webproxy traffic unlimited
Postem ae o que entenderam, estou estudando !
Citação
