REDIRECIONAMENTO NO FIREWALL MK P/ AUTENTICACOR EXTERNO(WEB)

[marcoeloy]

TENHO um mk que recebe link numa porta(ether1). Essa porta tem ip 200.200.200.200 e gateway configurado corretamente. O Mk ja tem internet. Os clientes que estao atras do radio, estao ligados à porta ether2 e estao todos na faixa 10.2.0.0/16. No momento o radio tem 3 regras no firewall que estao listadas abaixo:
ip firewall nat add chain=dstnat src-address=10.2.0.0/16 protocol=tcp dst-port=80 action=dst-nat to-addresses=200.200.200.200 to-ports=80 comment=R2_REDIR_AUTH

ip firewall nat add chain=srcnat src-address=10.2.0.0/16 protocol=tcp dst-port=80 action=masquerade comment=R2_NAT80_CENTRAL;

ip firewall nat add chain=srcnat src-address=10.2.0.0/16 protocol=udp dst-port=53 action=masquerade comment=R2_NAT53_CENTRAL;


Isso faz com que os clientres consigam fazer consultar dns a sites da internet, mas redireciona o acesso na porta 80 para o meu servidor de autenticacao. Apos inserir o login e a senha corretos o servidor grava uma regra especifica antes desses regras pre-existentes(via ssh) para liberar o acesso do ip que autenticou. Assim, quando o ip 10.2.4.194 autenticar, o servidor insere a regra dele no firewall com o seguinte comando:
ip firewall nat add chain=srcnat src-address=10.2.4.194 action=masquerade place-before=0"


Assim o firewall passa a possuir as regras:
1-ip firewall nat add chain=srcnat src-address=10.2.4.194 action=masquerade place-before=0"

2-ip firewall nat add chain=dstnat src-address=10.2.0.0/16 protocol=tcp dst-port=80 action=dst-nat to-addresses=200.200.200.200 to-ports=80 comment=R2_REDIR_AUTH

3-ip firewall nat add chain=srcnat src-address=10.2.0.0/16 protocol=tcp dst-port=80 action=masquerade comment=R2_NAT80_CENTRAL;

4-ip firewall nat add chain=srcnat src-address=10.2.0.0/16 protocol=udp dst-port=53 action=masquerade comment=R2_NAT53_CENTRAL;



O problema é que mesmo assim o mk continua redirecionado o acesso da porta 80 para o servidor de autenticacao. MSN, skype e outras aplicacoes que nao usem a porta 80 funcionam normalmente, mas todo o trafego na porta 80 permanece sendo redirecionado, o que não deveria acontecer para essa maquina(10.2.4.194) ja que a 1ª regra livra ela do redirecionameto. Pra que funcione da forma que deveria eu preciso desativar a regra 2, so que dessa forma eu perco a funcionalidade do redirecionamento para os clientes que ainda não autenticaram.
Quando zero os contadores, percebo que se a regra 2 estiver ativa, todos os pacotes que passam pela regra 1 na porta 80 tambem passam pela regra 2.

Não sou expert em firewall do mikotik. Os caros colegas poderiam me dar uma luz?

Grato,
Marco

[leobsl]

ola marcos tambem nao sou exepert nisso porem vai uma dica que fasso no meu firewall so que nao e com mikrotick

em ves de a regra 1 e 2 direcionar na porta 80 coloque outra porta tipo 8080 3128 ou qualquer porta que vc queira usar asim enquanto o cliente nao tiver regra de masquarede ele so ira pra o servidor nessa porta apos mascarar quando a regra e criada apos identificacao e autorizacao do seu servidor ele tera a regra para porta 80 .....


deve ser isso que vc ta querendo ........



vlw

[marcoeloy]

Leobsl, Obrigado por usa resposta...

Não obtive êxito. Olhando melhor a sequencia das regras eu percebi que o pacote realmente casa com as duas regras, uma vez que 1-ele vem de uma maquina com ip previsto e 2-se trata de um pacote na porta 80 que vai atravessar o servidor. A questão é que no meu entendimento ao combinar com a 1ª regra o firewall deveria parar e não seguir para a próxima. A não ser que firewall não pare numa chain do tipo MASQUERADE, ou seja, so pare ao encontrar um ACCEPT, DROP, REJECT ou EOF. Nesse caso eu teria de te uma 2ª regra a ser inserida logo depois com um ACCEPT pelo autenticador para cada IP que fosse validado por ele.

Abraço,
Marco

ola marcos tambem nao sou exepert nisso porem vai uma dica que fasso no meu firewall so que nao e com mikrotick

em ves de a regra 1 e 2 direcionar na porta 80 coloque outra porta tipo 8080 3128 ou qualquer porta que vc queira usar asim enquanto o cliente nao tiver regra de masquarede ele so ira pra o servidor nessa porta apos mascarar quando a regra e criada apos identificacao e autorizacao do seu servidor ele tera a regra para porta 80 .....


deve ser isso que vc ta querendo ........



vlw