Pago R$25 para quem resolver primeiro - Mudar o SRC-Adrress de um pacote ICMP gerado pelo servidor mikrotik.

Bem,

Estou realmente precisando de ajuda em uma configuração não-trivial do mikrotik.

A primeira pessoa que me der uma dica útil e que me faça resolver o problema, eu pago 25 reais. ;) (tenho que resolver esse problema nas proximas 24 horas)


Contexto (descrição longa):
Preciso fazer o mikrotik responder um tracerouter como se fosse outro computador.

Para quem não sabe como funciona o algoritmo do traceroute: Petryx ::

o que acontece normalmente:
Quando você dá o comando tracerouter de um computador de fora para um computador de dentro da rede (passando pelo mikrotik), obrigatoriamente, haverá uma hora que o mikrotik receberá um pacote ICMP com o TTL=1, src-adress=[ipdefora], dst-adress=[ipdedentro]

Por padrão, o mikrotik vai decrementar o TTL para 0 e assim, vai descartar o pacote e avisar ao src-adrress que o pacote foi descartado.
Para gerar o aviso, ele vai criar um pacote com as seguintes caracteristicas:
protocolo=ICMP, src-adress=[IPDOMIKROTIK], dst-adress=[ipdefora], icmp-type=11 icmp-code=0;
Essa combinação de tipo 11 e código 0 no protocolo ICMP reprensenta a mensagem enviada, que quer dizer: "Lascou, o TTL era zero e eu, o mikrotik, tive que descarta o pacote".

O problema:

Quero que o pacote em vez de ser gerado com src-adress=[IPDOMIKROTIK] seja enviado usando o src-adress=[IPDOMIKROTIK2]. (só isso!!!!)
Na teoria não é nada demais, visto que é só criar uma regra no firewall->NAT
da seguinte forma: chain= src-nat, action= src-nat to-address=[IPDOMIKROTIK2], protocol=icmp, src-adress=[IPDOMIKROTIK].

Dessa forma, na teoria, o pacote que passar pela regra, vai sair do mikrotik com o outro IP do mikrotik.

O erro está no fato que, aparentemente, o pacote em questão não passa pela chain SRC-NAT!
Se eu criar uma regra na chain OUTPUT do MANGLE, o pacote passa, mais não existe a ação de mudar o src-nat.


Outra solução que eu pensei foi dá um JUMP para uma outra chain, mas não é possivel visto que o mikrotik não deixa dá jumps para chains padrão e também nao deixa dá um jump de uma chain do mangle para outra no nat por exemplo.

Pelo que eu entendi, o pacote não passa pelo NAT quando ele é gerado pelo mikrotik.


Como eu disse antes, a primeira pessoa que der uma solução para o problema (pode ser gambiarra, desde que seja aceitável) recebe 25 reais.
Não posso usar o MetaROUTER).

O mikrotik tá zerado, e você tem que considerar que eu possuo várias faixas de IP externo, link dedicado e duas interfaces fisicas de rede.

(não posso dá o acesso ao mikrotik para ninguem, mas posso dar qualquer informação)

Arquivo com algumas informações sobre o pacote:
Anexo 19827

Vendo o fluxo de pacotes para pacotes gerado pelo mikrotik, o pacote deveria passsar pela chain src-nat:
Vejam: http://www.mikrotik.com/documentatio...ket_Flow25.png

ninguem vai esquentar a cabeça por r$ 25,00 meu filho paga uma caixa de cerveja que talves tu consuiga alguem pra te ajudar huahuahuahua

se vc por mais um zero atras desse valor vai aparecer a solução do seu problema. :)

Amigo vc acabou substimando a capacidade técnica, intelectual e principalmente financeira dos usuarios, realmente se vc tivesse oferecido uma caixa de cerveja teria sido mais delicado da sua parte, quero ver quem vai ser o "gostosão" que vai resolver essa bucha por R$ 25,00. Fico acompanhando....

Hehe... Eu tinha respondido outra coisa mas eu prefiro ser legal... :D

Na realidade isso não funciona pelo seguinte:
Quando um pacote externo chega no INPUT da máquina o kernel da máquina responde SEMPRE com o IP que o pacote foi destinado...

Ou seja, se voce estiver no 192.168.1.1 tentando pingar o 192.168.1.2, o segundo SEMPRE vai responder como 192.168.1.2 já que ele recebeu os pacotes naquela interface/IP.

A única coisa que você consegue alterar são os pacotes originados naquela máquina (mas não em resposta a outros)... Quer dizer que, se voce fizer uma regra src-nat mudando o IP para 192.168.1.3, ela VAI funcionar APENAS se você iniciar um ping DESTA máquina... Os pacotes sairão com como 192.168.1.3, fazendo o src-nat normalmente...

E como eu tinha falado no post anterior que eu apaguei, guarda os 25 e compra um livrinho de iptables :D hehehe