+ Responder ao Tópico



  1. #1
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Redirecionar acesso interno para outro ip interno [RESOLVIDO]

    Boa tarde,

    Possuo um redirecionamento da porta 8080 para dentro da rede. Agora, gostaria de fazer o mesmo quando acesso internamente pelo ip válido. No linux adiciono essa regra além das outras normais para redirecionar de fora para dentro da rede.

    $IPT -t nat -A POSTROUTING -o $LOCAL_IFACE -s $LOCAL_NET -d 192.168.1.199/32 -j MASQUERADE

    Alguem sabe fazer isso no Mikrotik?

    Abraço


    [RESOLVIDO]

    https://under-linux.org/f212/redirec...tml#post635594
    Última edição por gamineiro; 21-08-2012 às 15:03. Razão: RESOLVIDO

  2. #2

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Bom amigo se vc já sabe fazer isso no linux o primeiro passo para fazer no MK é IR em Firewall aba Nat...

  3. #3
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Citação Postado originalmente por hodesanionetx Ver Post
    Bom amigo se vc já sabe fazer isso no linux o primeiro passo para fazer no MK é IR em Firewall aba Nat...
    Obrigado amigo, mas já utilizei milhares de combinações de regras no firewall do Mikrotik.

    Será que alguém já precisou utilizar isso?

    Obrigado

  4. #4

    Padrão Re: Redirecionar acesso interno para outro IP interno

    Citação Postado originalmente por gamineiro Ver Post
    ...Possuo um redirecionamento da porta 8080 para dentro da rede. Agora, gostaria de fazer o mesmo quando acesso internamente pelo ip válido.
    Boa noite.

    Vamos nomear e numerar os integrantes da festa

    Você tem um roteador [rtr01], com IP hipotéticos endereços 200.200.200.2/30 (wan - ether1) e 192.168.10.1/24 (lan - ether2). O endereço do seu servidor, de hostname [srv02], é 192.168.10.2/24 (lan - eth0).

    Parte 1: Pelo que entendi, você deseja acessar externamente, de qualquer IP do mundo, o endereço 200.200.200.2:8080 e cair em 192.168.10.1:8080. Isso você consegue resolver usando exemplos[1] prontos disponíveis aqui no Under-Linux.

    Parte 2: Entendi também, que você deseja, estando DENTRO da sua rede (portanto, atrás do seu NAT), digitar no navegador 200.200.200.2:8080, e ser redirecionado para 192.168.10.2:8080. Isso?

    O colega precisa da Parte 2, ou a Parte 1 já é suficiente?

    [1] https://under-linux.org/f143/ajuda-c...21/#post564070

    Saudações,

    Trober
    -
    -
    -
    -
    -

  5. #5

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Vou tentar ser mais específico no exemplo 1 do nosso amigo Trober

    / ip firewall nat
    add action=dst-nat chain=dstnat comment="Redirecionamento HTTP" disabled=no \dst-port=8181 protocol=tcp to-addresses=192.168.10.1 to-ports=80

    B
    em coloquei a porta 8181 para mudar. Espero ter ajudado!

  6. #6
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Redirecionar acesso interno para outro IP interno

    Citação Postado originalmente por trober Ver Post
    Boa noite.

    Vamos nomear e numerar os integrantes da festa

    Você tem um roteador [rtr01], com IP hipotéticos endereços 200.200.200.2/30 (wan - ether1) e 192.168.10.1/24 (lan - ether2). O endereço do seu servidor, de hostname [srv02], é 192.168.10.2/24 (lan - eth0).

    Parte 1: Pelo que entendi, você deseja acessar externamente, de qualquer IP do mundo, o endereço 200.200.200.2:8080 e cair em 192.168.10.1:8080. Isso você consegue resolver usando exemplos[1] prontos disponíveis aqui no Under-Linux.

    Parte 2: Entendi também, que você deseja, estando DENTRO da sua rede (portanto, atrás do seu NAT), digitar no navegador 200.200.200.2:8080, e ser redirecionado para 192.168.10.2:8080. Isso?

    O colega precisa da Parte 2, ou a Parte 1 já é suficiente?

    [1] https://under-linux.org/f143/ajuda-c...21/#post564070

    Saudações,

    Trober
    -
    -
    -
    -
    -

    Bom dia,

    Obrigado pela "topologia", não fui muito claro em minha explicação.

    Pois bem, preciso da parte 2 mesmo.

    Obrigado

  7. #7

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Bom dia

    Seguinte você pode criar DNS para seu ip interno, ou seja, se o cliente digitar programas.site.com.br ele irá associar seu ip interno no mikrotik é tranquilo de fazer.

    IP>DNS
    Clique no + em Name coloca ex.: programas.site.com.br e em address seu ip interno

  8. #8
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Citação Postado originalmente por leonardolinux Ver Post
    Bom dia

    Seguinte você pode criar DNS para seu ip interno, ou seja, se o cliente digitar programas.site.com.br ele irá associar seu ip interno no mikrotik é tranquilo de fazer.

    IP>DNS
    Clique no + em Name coloca ex.: programas.site.com.br e em address seu ip interno
    Obrigado amigo, mais preciso fazer da maneira correta. além do mais não tenho servidor DNS no firewall.

  9. #9

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Citação Postado originalmente por gamineiro Ver Post
    Obrigado amigo, mais preciso fazer da maneira correta. além do mais não tenho servidor DNS no firewall.
    Bom dia.

    A alternativa sugerida pelo colega leonardolinux é a mesma que eu iria sugerir. A forma dele é correta.

    O MikroTik RouterOS tem um serviço de DNS bem porcoso, mas resolve seu problema. O mais elegante é usar views do Bind.

    Siga a sugestão dele que está no caminho.

    Entretanto (sempre tem um porém...), se você ainda assim deseja fazer PAT (Port Address Translation), não só de requisições externas, mas internas também, a história muda completamente, nem o DNS porcão do RouterOS, nem o Bind, vão ajudar você.

    Por gentileza, detalhe mais seu cenário, descreve faixas de redes, portas, dispositivos e serviços. Tem bastante gente aqui querendo ajudar, e precisamos desses detalhes

    Saudações,

    Trober
    -
    -
    -
    -
    -

  10. #10
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Citação Postado originalmente por trober Ver Post
    Bom dia.

    A alternativa sugerida pelo colega leonardolinux é a mesma que eu iria sugerir. A forma dele é correta.

    O MikroTik RouterOS tem um serviço de DNS bem porcoso, mas resolve seu problema. O mais elegante é usar views do Bind.

    Siga a sugestão dele que está no caminho.

    Entretanto (sempre tem um porém...), se você ainda assim deseja fazer PAT (Port Address Translation), não só de requisições externas, mas internas também, a história muda completamente, nem o DNS porcão do RouterOS, nem o Bind, vão ajudar você.

    Por gentileza, detalhe mais seu cenário, descreve faixas de redes, portas, dispositivos e serviços. Tem bastante gente aqui querendo ajudar, e precisamos desses detalhes

    Saudações,

    Trober
    -
    -
    -
    -
    -
    Olá,

    Não tenho como fazer assim por vários motivos. Não tenho servidor DNS rodando no firewall, uso AD e o DNS é nele. As conexões são feitas por IP e não por nome. Mesmo que não seja por nome, se eu tivesse outro serviço rodando no mesmo endereço, mas que ficasse fora da empresa (email por exemplo), não iria funcionar também.

    O cenário é exatamente o que você descreveu como Parte 2.

    Rede interna: 192.168.0.0/24
    GW: 192.168.0.254
    WEB SERVER: 192.168.0.80/24
    IP VÁLIDO GW: 201.201.201.201

    Quanto estou fora da empresa, acesso pelo browser o endereço http://201.201.201.201:8080 e sou redicionado para o IP do Web Server normalmente, essa regra é bem simples.

    Quando estou dentro da empresa, quero acessar pelo browser o mesmo endereço http://201.201.201.201:8080 e também ser direcionado para o Web Server.

    A regra correta para o Linux é exatamente essa. Ja tentei copiar mas não consigo.

    $IPT -t nat -A POSTROUTING -o $LOCAL_IFACE -s $LOCAL_NET -d 192.168.0.80/32 -j MASQUERADE

  11. #11

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Bom dia

    Favor teste esta regra abaixo...

    /ip firewall nat
    add action=dst-nat chain=dstnat disabled=no dst-address=201.201.201.201 \
    dst-port=8080 protocol=tcp to-addresses=192.168.0.80 to-ports=8080


    Você esta usando Mikrotik em seu firewall?

  12. #12

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Citação Postado originalmente por gamineiro Ver Post
    Rede interna: 192.168.0.0/24
    GW: 192.168.0.254
    WEB SERVER: 192.168.0.80/24
    IP VÁLIDO GW: 201.201.201.201
    Código :
    /ip firewall nat \
    add action=dst-nat chain=dstnat disabled=no \
    dst-address=201.201.201.201 dst-port=8080 \
    protocol=tcp src-address=192.168.0.0/24 \
    to-addresses=192.168.0.80 to-ports=80
    Interpretação em linguagem mais próxima possível da natural (o que é impossível com iptables), do código acima.

    Redireciona para o host 192.168.0.80:80 as requisições originadas na redes 192.168.0.0/24, que tenham como destino o endereço 201.201.201.201:8080 TCP. Ao host alvo (192.168.0.80), assume-se a porta de destino em mesmo protocolo, portanto, TCP.

    Acredito que seu problema será sanado.

    Testa aí e nos avisa

    Saudações,

    Trober
    -
    -
    -
    -
    -

  13. #13

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Citação Postado originalmente por gamineiro Ver Post
    Olá,

    Não tenho como fazer assim por vários motivos. Não tenho servidor DNS rodando no firewall, uso AD e o DNS é nele. As conexões são feitas por IP e não por nome. Mesmo que não seja por nome, se eu tivesse outro serviço rodando no mesmo endereço, mas que ficasse fora da empresa (email por exemplo), não iria funcionar também.

    O cenário é exatamente o que você descreveu como Parte 2.

    Rede interna: 192.168.0.0/24
    GW: 192.168.0.254
    WEB SERVER: 192.168.0.80/24
    IP VÁLIDO GW: 201.201.201.201

    Quanto estou fora da empresa, acesso pelo browser o endereço http://201.201.201.201:8080 e sou redicionado para o IP do Web Server normalmente, essa regra é bem simples.

    Quando estou dentro da empresa, quero acessar pelo browser o mesmo endereço http://201.201.201.201:8080 e também ser direcionado para o Web Server.

    A regra correta para o Linux é exatamente essa. Ja tentei copiar mas não consigo.

    $IPT -t nat -A POSTROUTING -o $LOCAL_IFACE -s $LOCAL_NET -d 192.168.0.80/32 -j MASQUERADE
    Deixa ver se entendi!!
    Tu esta dentro da rede, e tem um ip valico xyz e que acessar pela porta externa 8080 pela rede interna.

    Se tu digitar o ip xyz sem a porta vai cair direto? Se sim tu vai fazer o seguinte:
    Troca a porta 80 do seu webserver pela porta 8080 e na regra do firewall tu troca a porta 80 do ip interno pela 8080.
    Ai é so tu coloca o ip xyz:8080 tanto internamente como externamente.

  14. #14
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Citação Postado originalmente por leonardolinux Ver Post
    Bom dia

    Favor teste esta regra abaixo...

    /ip firewall nat
    add action=dst-nat chain=dstnat disabled=no dst-address=201.201.201.201 \
    dst-port=8080 protocol=tcp to-addresses=192.168.0.80 to-ports=8080


    Você esta usando Mikrotik em seu firewall?
    Não funcionou também.

  15. #15
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Citação Postado originalmente por emanochio Ver Post
    Deixa ver se entendi!!
    Tu esta dentro da rede, e tem um ip valico xyz e que acessar pela porta externa 8080 pela rede interna.

    Se tu digitar o ip xyz sem a porta vai cair direto? Se sim tu vai fazer o seguinte:
    Troca a porta 80 do seu webserver pela porta 8080 e na regra do firewall tu troca a porta 80 do ip interno pela 8080.
    Ai é so tu coloca o ip xyz:8080 tanto internamente como externamente.
    Amigo, não entendi o "vai car direto". Mas se colocar sem a porta, vai abrir o webserver do firewall.

    Obrigado

  16. #16

    Padrão Re: Redirecionar acesso interno para outro IP interno

    Eu tbm estou procurando uma solução para a parte 2 algum sabe como fazer

  17. #17

    Padrão Re: Redirecionar acesso interno para outro IP interno

    Amigo, conseguiu a regra para seu problema??
    Estou com o mesmo problema...

  18. #18
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Boa tarde pessoal,

    Desculpe pela demora para responder.

    Na verdade as regras estavam corretas, porém na ORDEM INVERSA.

    O que eu tinha sempre na cabeça fazendo com o iptables (linux) era que primeiro você precisa mascarar a saída, mesmo que seja para o IP válido do próprio roteador, depois é que você faz o redireciomento interno.

    Não sei como não tinha feito os testes no mikrotik antes, a pressão era tanta que passou despercebido hahahaha.

    Vamos ao exemplo: (Do início do post)
    Primeiro vamos fazer o masquerade do IP do Webserver:

    /ip firewall nat add chain=srcnat action=src-nat to-addresses=201.201.201.201 src-address=192.168.0.80

    Depois vamos criar as regras de redirecionamento para ele, quantas forem necessárias:

    /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.0.80 to-ports=80 protocol=tcp dst-address=201.201.201.201 dst-port=80

    Pronto, eu tinha essas regras invertidas, esse era o problema.

    Obs.: No ACTION da primeira regras, não usei o masquerade porque tenho mais de um IP válido na interface, por isso usei o src-nat para dizer qual era o IP que eu queria.

    Obrigado a todos e fico a disposição para ajudar.

    abraço

  19. #19

    Padrão Re: Redirecionar acesso interno para outro ip interno

    Estou com esse problema também, meu caso é o seguinte:

    Tenho um ip válido, que chega no meu MK por PPPoE, é feito o NAT das portas 80,8080,8081,8083 para o ip da LAN 10.10.1.252. Gostaria de abrir aqui na minha LAN a página pelo IP válido. Temos um sistema web de gerenciamento, que funciona tanto fora quando dentro da empresa, e alguns links so são acessados pelo ip real, quem tiver dentro da empresa não consegue. Quem puder ajudar agradeço!

  20. #20

    Padrão Re: Redirecionar acesso interno para outro ip interno [RESOLVIDO]

    Da uma olhada aqui
    http://wiki.mikrotik.com/wiki/Hairpin_NAT


    Sent from my iPhone using UnderLinux