Gostaria de compreender o NTH

**mson77** · 26-02-2008, 22:38

Ola Rhander....

OBRIGADO pela compreensão.

Observe que eu tomo cuidado para que as mensagens possam ser lidas por qualquer pessoa. De forma SIMPLES... clara... e direta.

Tenho certeza que se cada um de nós... mudar a forma de escrever... de apresentar informações.... a forma de SOLICITAR INFORMAÇÕES... esse forum se tornará mais famoso e útil do que ele já é hoje.

Muitas vezes... (eu sou humano, portanto nem sempre sou Sr Paciencia)... aparece algumas pessoas e postam assim:

"Meu carro quebrou! Como faço para consertar?"

Pergunto a voce: Dá pra ajudar um tópico assim?

Abraços,

**iuredaluz** · 03-03-2008, 20:15

Olá, fiz o balanceamento de banda funcionar, porem eu perdi acesso do servidor mikrotik de uma conexão externa, não da nem para pingar o meu servidor estando em outro lugar fora da minha rede, gostaria de saber como fazer para ele aceitar conexões externas nos ips? Usei a mesma regra que foi postada aqui. Abraços

**mson77** · 03-03-2008, 20:21

Ola...

verifique as regras de firewall.

Ou **POSTE** informações mais completas. Completas significa:

suas regras mangle
suas regras nat
suas regras filter
suas regras route

"a qualidade da resposta é diretamente proporcional a qualidade da informação/explanação apresentada" (Não dá pra ficar adivinhando)

Abracos,

**iuredaluz** · 03-03-2008, 20:29

OK, ai vai as regras, somente o primeiro link com nome de ODD tem IP Fixo e valido, preciso acessar remotamente por este ip.

aqui está as regras, em FILTERs não tem regra nenhuma, somente em NAT e MANGLE.

/ ip firewall nat
add chain=srcnat action=src-nat to-addresses=192.168.64.18 to-ports=0-65535 \
connection-mark=odd comment="" disabled=no
add chain=srcnat action=src-nat to-addresses=10.246.21.6 to-ports=0-65535 \
connection-mark=even comment="" disabled=no
add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
connection-mark=jump comment="" disabled=no

/ ip firewall mangle
add chain=prerouting action=mark-connection new-connection-mark=odd \
passthrough=yes connection-state=new in-interface=Local nth=2,1,0 \
comment="" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
in-interface=Local connection-mark=odd comment="" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=even \
passthrough=yes connection-state=new in-interface=Local nth=2,1,1 \
comment="" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
in-interface=Local connection-mark=even comment="" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=jump \
passthrough=yes connection-state=new in-interface=Local nth=2,1,2 \
comment="" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=jump passthrough=no \
in-interface=Local connection-mark=jump comment="" disabled=no

**mson77** · 03-03-2008, 20:48

Ola iuredaluz...

Está faltando informação solicitada... importante para analise.

Segue um erro de distração:

Código :

add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
in-interface=Local connection-mark=odd comment="" disabled=no

Abracos,

**iuredaluz** · 03-03-2008, 20:55

Postado originalmente por mson77

Ola iuredaluz...

Está faltando informação solicitada... importante para analise.

Abracos,

Perdao, aqui esta o resto

/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
target-scope=10 comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
target-scope=10 routing-mark=odd comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.27.2 distance=1 scope=255 \
target-scope=10 routing-mark=jump comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
target-scope=10 routing-mark=even comment="" disabled=no

**mson77** · 03-03-2008, 21:16

Ola...

esse /ip route...

está INCOMPLETO... (nao vou suplicar por informacao completa)

E tem erro no mangle... citado na minha mensagem anterior.

Até.

**iuredaluz** · 03-03-2008, 23:29

Postado originalmente por mson77

Ola...

esse /ip route...

está INCOMPLETO... (nao vou suplicar por informacao completa)

E tem erro no mangle... citado na minha mensagem anterior.

Até.

Desculpe, eu postei apenas os gateways, pensei não ser necessario o resto, eu ja corregir o problema, agora qual seria o problema do mangle por favor?

E desculpe novamente, mais as regras eu peguei no wiki do mikrotik.com, apenas adicionei para + 1 link, adicionei a regra JUMP

**schramm** · 03-03-2008, 23:40

amigo iure, pelo q percebi vc esta usando o adsl como rota default e tbm ja tive esse problema, reformule sua regra pra q o seu link com ip fixo fique como rota default,,,,,

so pra lembrar e rota default é aquela q vc nao marca rota

**iuredaluz** · 03-03-2008, 23:43

Postado originalmente por schramm

amigo iure, pelo q percebi vc esta usando o adsl como rota default e tbm ja tive esse problema, reformule sua regra pra q o seu link com ip fixo fique como rota default,,,,,

so pra lembrar e rota default é aquela q vc nao marca rota

grande amigo, era isso realmente o problema, hehehe como postei na mensagem anterior ja foi resolvido, muito obrigado mesmo assim, e são 3 links via satelite, aqui so chega sinal de fumaça (risos)

**iuredaluz** · 04-03-2008, 01:37

Bom galera, agora meu problema é com sites de bancos, vou postar aqui minhas configurações.

/ ip firewall nat
add chain=srcnat action=src-nat to-addresses=192.168.64.18 to-ports=0-65535 \
connection-mark=odd comment="" disabled=no
add chain=srcnat action=src-nat to-addresses=10.246.21.6 to-ports=0-65535 \
connection-mark=even comment="" disabled=no
add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
connection-mark=jump comment="" disabled=no
add chain=dstnat action=dst-nat to-addresses=192.168.26.2 to-ports=1881 \
in-interface=Hispamar dst-port=1881 protocol=tcp comment="" disabled=no
add chain=dstnat action=dst-nat to-addresses=192.168.32.159 to-ports=1881 \
in-interface=Hispamar dst-port=1882 protocol=tcp comment="" disabled=no

/ ip firewall mangle
add chain=prerouting action=mark-connection new-connection-mark=even \
passthrough=yes nth=2,1,2 dst-address-list=list comment="" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
dst-address-list=list comment="" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=odd \
passthrough=yes connection-state=new in-interface=Local nth=2,1,0 \
comment="" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=odd passthrough=no \
in-interface=Local connection-mark=odd comment="" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=even \
passthrough=yes connection-state=new in-interface=Local nth=2,1,1 \
comment="" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
in-interface=Local connection-mark=even comment="" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=jump \
passthrough=yes connection-state=new in-interface=Local nth=2,1,2 \
comment="" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=jump passthrough=no \
in-interface=Local connection-mark=jump dst-address-list=list comment="" \
disabled=no

/ ip firewall filter
add chain=output action=drop p2p=all-p2p comment="Bloqueio de P2P" disabled=no

/ ip firewall address-list
add list=list address=170.66.11.1 comment="" disabled=no
add list=list address=170.66.2.59 comment="" disabled=no
add list=list address=65.55.197.126 comment="" disabled=no
add list=list address=72.5.77.205 comment="" disabled=no
add list=list address=170.66.11.10 comment="" disabled=no
add list=list address=170.66.52.28 comment="" disabled=no
add list=list address=170.66.1.60 comment="" disabled=no

/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
target-scope=10 comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
target-scope=10 routing-mark=odd comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.27.2 distance=1 scope=255 \
target-scope=10 routing-mark=jump comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
target-scope=10 routing-mark=even comment="" disabled=no

Os ips que estão no LIST foi uma tentativa frustada de tentar fazer que o banco do brasil não passe pelo balanceamento e vá direto para o link cujo podemos chamar de "even"

**mson77** · 04-03-2008, 13:28

Ola...

O seu problema é somente para Banco do Brasil... (https... imagino), ou para site de qualquer banco (tcp:443)... sites que fazem amarração do IP source para autenticar conexão?

Caso seja para qualquer acesso tcp:443... sugiro remover as 02 regras da tabela mangle que voce criou... e implementar a nova regra na tabela nat.

Boa sorte.

**iuredaluz** · 04-03-2008, 14:03

Postado originalmente por mson77

Ola...

O seu problema é somente para Banco do Brasil... (https... imagino), ou para site de qualquer banco (tcp:443)... sites que fazem amarração do IP source para autenticar conexão?

Caso seja para qualquer acesso tcp:443... sugiro remover as 02 regras da tabela mangle que voce criou... e implementar a nova regra na tabela nat.

Boa sorte.

Correto, é para todos os bancos, na verdade, todo tipo de acesso 443, devo fazer então na aba NAT? devo criar uma regra acima das de NAT (masquerade) ou devo por em cada regra do NAT um (!)para excluir os ips que adicionei no meu Access List?

Muito grato pela ajuda.

**mson77** · 04-03-2008, 14:08

Ola...

Vc faça **ANTES** de tudo... no inicio das suas regras nat

Filtre por todas as conexoes tcp:443 e faça um source_nat para um IP de alguma das suas 3 interfaces... preservando porta 443.

E remova aquelas 2 regras na mangle que apontei outrora.

Abraços,

**liandrocarniel** · 04-03-2008, 17:34

Iure

Tem certeza que esse teu Mangle tá funcionando certo?

Na segunda linha tem referencia a nth=2,1,2 apontando para uma dst-address-list=list

e também tem uma referencia parecida (nth ) mais no final, e as demais regras nao apontam para nenhuma dst-addreslist..

Creio que o ideal seria voce partir do zero esses teus mangles, primeiramente entendendo eles... creio que você copiou as regras, mas nao analisou direitinho... acho que tem regra sobrando (as primeiras linhas)

**mson77** · 04-03-2008, 21:00

Ola liandrocarniel...

tudo bem com voce?

Eu ja apontei para "iuredaluz"... que tem erros na mangle...

Ele cometeu:

1ª vez ==> erro por distração
2ª vez ==> erro no conceito

Ambas da mangle.

Pedi para expor as regras. Ele filtra.. corta uma parte e a parte que ele julga suficiente... ele expõe.

Ja deu vontade de jogar toalha no chão... mas a minha paciencia é maior.

Abraços,

**liandrocarniel** · 05-03-2008, 08:22

Calma mson77

Creio que você também ficou stressado quando apresentei os meus questionamentos sobre o NTH, faz você foi paciente.

Vamos ser com o Iure. Ele só precisa se organizar melhor.
Com suas dicas e sugestões de organizar as mensagens, ele vai aprender e isso vai ajudar no futuro dele... Pense assim..

Mas voltando ao nosso assunto do NTH, após suas explicações, fiz outros testes, e veja que curioso o resultado que obtive.

Lembra-se que eu trabalho com Adress-list, selecionando os clientes, e negando alguns ip's válidos, e que dessa forma a proporção do balancemanto não fica de 1 para 1?

Retirei (para testes) essas opções de address-list e realmente funcionou como você afirmava. Valeu a pena você insistir.

Infelizmente não vou poder usar devido aqueles fatores todos que apresentei (preciso escolher os clientes que podem passar pelo balanceamento).

Mas a dúvida maior é:
Por que?
Qual a lógica de mudar a proporção aos escolher através de um address-list quem iria passar?

Mas tenha calma e persistência amigo.
Veja que no meu caso, está funcionando a contento, mas tenho mais interesse em compreender a lógica do problema, do que resolver (já que sabemos a solução).

Grande abraço

**iuredaluz** · 05-03-2008, 20:32

Postado originalmente por liandrocarniel

Iure

Tem certeza que esse teu Mangle tá funcionando certo?

Na segunda linha tem referencia a nth=2,1,2 apontando para uma dst-address-list=list

e também tem uma referencia parecida (nth ) mais no final, e as demais regras nao apontam para nenhuma dst-addreslist..

Creio que o ideal seria voce partir do zero esses teus mangles, primeiramente entendendo eles... creio que você copiou as regras, mas nao analisou direitinho... acho que tem regra sobrando (as primeiras linhas)

Opa amigo, as 2 primeiras regras foram uma tentativa frustadas de fazer os bancos passarem por fora do balanceamento, inclusive onde tinha dst-address list.

abraços.

**iuredaluz** · 05-03-2008, 20:39

Primeiro, o que seria erro por distranção e conceito?

Aqui vão as regras atuais

/ ip firewall nat
add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
dst-port=443 protocol=tcp connection-mark=jump dst-address-list=list \
comment="" disabled=no
add chain=srcnat action=src-nat to-addresses=192.168.64.18 to-ports=0-65535 \
connection-mark=odd comment="" disabled=no
add chain=srcnat action=src-nat to-addresses=10.246.21.6 to-ports=0-65535 \
connection-mark=even comment="" disabled=no
add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
connection-mark=jump comment="" disabled=no

/ ip firewall mangle
add chain=prerouting action=mark-connection new-connection-mark=odd \
passthrough=yes connection-state=new in-interface=Local nth=2,1,0 \
comment="" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
in-interface=Local connection-mark=odd comment="" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=even \
passthrough=yes connection-state=new in-interface=Local nth=2,1,1 \
comment="" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
in-interface=Local connection-mark=even comment="" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=jump \
passthrough=yes connection-state=new in-interface=Local nth=2,1,2 \
comment="" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=jump passthrough=no \
in-interface=Local connection-mark=jump comment="" disabled=no
/ ip firewall address-list
add list=list address=170.66.11.1 comment="" disabled=no
add list=list address=170.66.2.59 comment="" disabled=no
add list=list address=65.55.197.126 comment="" disabled=no
add list=list address=72.5.77.205 comment="" disabled=no
add list=list address=170.66.11.10 comment="" disabled=no
add list=list address=170.66.52.28 comment="" disabled=no
add list=list address=170.66.1.60 comment="" disabled=no
add list=list address=65.54.179.203 comment="" disabled=no

/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
target-scope=10 comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
target-scope=10 routing-mark=odd comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.27.2 distance=1 scope=255 \
target-scope=10 routing-mark=jump comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
target-scope=10 routing-mark=even comment="" disabled=no

e agora sera que está tudo certinho? eu adicionei a primeira regra no NAT conforme o amigo pediu, gostaria de saber se fiz corretamente.

na aba address-list estão alguns ips do BB, que estou usando para testes.

qualquer ajuda eu agradeço

**mson77** · 05-03-2008, 22:43

Ola...

Minha mensagem do dia [03-03-2008, 20:48] **APONTA** para o erro de distração. Por favor, confira se eu não apontei o erro de DISTRAÇÃO.

Mas vou dar "colher de chá" e apontar NOVAMENTE.

Voce pode me explicar essa regra mangle que eu copiei do seu ultimo post e colei aqui:

Código :

 add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
    in-interface=Local connection-mark=odd comment="" disabled=no

Voce parece um pouco **arrisco** nas minhas mensagens. Sua opção.

MAS as minhas mensagens SEMPRE foram para te ajudar, com regras lógicas e claras.

==============================
Com relação as conexoes tcp:443:

Sua regra:

Código :

add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
dst-port=443 protocol=tcp connection-mark=jump dst-address-list=list \
comment="" disabled=no

Minha regra:

Código :

add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
dst-port=443 protocol=tcp comment="" disabled=no

Se desejar pode filtrar colocando dst_addresses.

Abracos,

Gostaria de compreender o NTH

Ferramentas de Tópicos