Failover mikrotik + firewall iptables

[lfernandosg]

Pessoal,

Hoje minha rede está assim:

Internet link dedicado com ip valido 200.200.200.x-> placa 1 servidor linux(iptables + squid)->placa 2 servidor linux rede interna 10.0.1.0/24

o gateway da rede(placa 2 linux) está com o ip 10.0.1.254

O que preciso:

Configurei uma routerboard 750GL mikrotik para ter um link de backup sem loadbalance e está funcionando(http://wiki.mikrotik.com/wiki/Advanc...hout_Scripting)

nela entra 2 links dedicados: ether1 200.200.200.x(link hoje que entra no linux) e ether2 199.199.199.x link da embratel e sai o IP na ether 3 192.168.16.1


Como como tenho várias regras no iptables do linux para acesso remoto ssh, terminal service, cameras, sistema ERP da empresa web, queria deixar o iptables funcionando e usar o mikrotik somente para link de backup então, como faço para deixar todas as portas direcionadas para o linux para por exemplo quando um usuário digitar de fora o IP do meu TS: 200.200.200.x:3391 o linux é quem faz o direcionamento para a máquina como hoje é feito normalmente.

Pergunto isso para não ter que criar todas as regras novamente no MK direcionando para o Linux e ele, faz o direcionamento novamente para rede interna. Também quero continuar com o mesmo gateway interno 10.0.1.254 para não ter que alterar em todas as máquinas.

[felipeandrade55]

Não sei se intendi bem, caso sim me parece que você precisa no mikrotik fazer uma dmz para o Linux. Se for isso atente-se em deixar a porta do mikrotik como excessao na DMZ, ou Vc perde o acesso externo a ele.

[lfernandosg]

Não sei se intendi bem, caso sim me parece que você precisa no mikrotik fazer uma dmz para o Linux. Se for isso atente-se em deixar a porta do mikrotik como excessao na DMZ, ou Vc perde o acesso externo a ele.

Seria mais ou menos isso mesmo...quero que o MK faça só failover mas quero que o firewall seja todo no linux.

Você teria essa regra para o dmz para eu testar? eu colocando o dmz para o linux não deixaria o mk vulnerável para acesso externo?

E como ficaria o ip válido que tenho no linux? teria que alterar para a faixa de IP lan da routerboard?

[felipeandrade55]

A regra para a DMZ seria esta:

/ip firewall nat
add action=dst-nat chain=dstnat comment=DMZ > Linux dst-port=!8291 in-interface=Interface_do_link protocol=tcp to-addresses=Ip_do_firewall_linux

Quanto a segurança, estamos deixando somente a porta do WINBOX direcionada para o Mikrotik, então pode haver sim alguma tentativa de ataque nesta porta, porém todas as outras são direcionadas para seu firewall. Pelo que intendi do senário, o ip válido não chega no Mikrotik? Caso sim, com estas regras continuaria da mesma forma.

[lfernandosg]

A regra para a DMZ seria esta:

/ip firewall nat
add action=dst-nat chain=dstnat comment=DMZ > Linux dst-port=!8291 in-interface=Interface_do_link protocol=tcp to-addresses=Ip_do_firewall_linux

Quanto a segurança, estamos deixando somente a porta do WINBOX direcionada para o Mikrotik, então pode haver sim alguma tentativa de ataque nesta porta, porém todas as outras são direcionadas para seu firewall. Pelo que intendi do senário, o ip válido não chega no Mikrotik? Caso sim, com estas regras continuaria da mesma forma.

Na verdade, minha real vontade é migrar meu iptables para o mk. Segue meu post se for possivel queria saber:

Pessoal,


Hoje utilizo o linux para firewall + proxy autenticado por usuário na minha rede interna. Hoje, tudo é bloqueado e liberado só que que quero para cada usuário e fiz um direcionamento somente para os macs da diretoria para não passar pelo proxy e navegar live.


Isso é possível no mk? uns 2 anos atrás tentei mas só tinha a opção de hotspot para poder autenticar.


Quero, que o usuário coloque a senha e o usuário e dentro do MK, eu escolha o que cada usuário vai acessar...ou que no caso, seja tudo bloqueado e eu vá liberando aos poucos. Preciso também, que a diretoria navegue livre de autenticação. Qual a solução para isso no MK? Hoje, o proxy do MK substitui o squid do linux?

[felipeandrade55]

Amigo, migrar o firewall para o mk e possivel sim, porem o mk nao substitui o squid, pelomenos não totalmente. Mas vc pode deixar o squid em paralelo, direcionando somente a navegaçao pra ele, e o firewall todo no mk.