FPI - Fórum para Provedores de Internet
Gostaria de reagir a esta mensagem? Crie uma conta em poucos cliques ou inicie sessão para continuar.
FPI - Fórum para Provedores de Internet


Você não está conectado. Conecte-se ou registre-se

Firewall: Pagina de Corte, de Aviso e de Manutenção deixaram de funcionar.

3 participantes

Ir para baixo  Mensagem [Página 1 de 1]

jeansilva

jeansilva
Colaborador Iniciante
Colaborador Iniciante

Olá amigos, tenho o meu sistema com o Thunder Cache e Mk-Auth, porem, desde a implantação do thunder que minhas regras de corte, aviso e manutenção deixaram de funcionar. A de corte, no Mangle e Nat aparecem habilitadas, mas o clientes continuam navegando. Já a Pagina de manutenção, que coloquei no NAT, ao ser habilitada, corta geral, ou seja, ninguém mais navega.

Eis as regras que estão no momento em meu sistema:

NAT
Código:
/ip firewall nat
add action=dst-nat chain=pre-hotspot comment="====== redirecionamento pag. corte\
    \_mk-auth Mangle.===========================================================\
    ====" disabled=no hotspot=auth packet-mark=bloqueado protocol=tcp \
    to-addresses=172.31.255.2 to-ports=85

add action=dst-nat chain=dstnat comment="PG AVISO" connection-limit=!1,32 \
    disabled=no dst-port=0-65535 protocol=tcp src-address-list=pgaviso \
    to-addresses=172.31.255.2 to-ports=88
add action=dst-nat chain=dstnat comment="AVISO DE MANUTEN\C7\C3O" disabled=yes \
    dst-port=80 in-interface=bridge1 protocol=tcp src-address=0.0.0.0/0 \
    to-addresses=172.31.255.2 to-ports=89

MANGLE
Código:
/ip firewall mangle
add action=jump chain=prerouting comment="=========== redirecionamento pag. cort\
    e mk-auth Mangle.================================================\
    ============================\
    ===========" disabled=no hotspot="" jump-target=hotspot

Adicionais: As regras uso acima das demais e autenticação é via hotspot.
Obrigado quem puder ajudar!



Última edição por jeansilva em Seg 27 maio - 2:40, editado 1 vez(es)

Marco


Especialista
Especialista

A ordem das regras é importante. O desvio para o cache deve sempre estar depois das regras de controle.

jeansilva

jeansilva
Colaborador Iniciante
Colaborador Iniciante

Marco escreveu:A ordem das regras é importante. O desvio para o cache deve sempre estar depois das regras de controle.


Marco, as regras de controle estão acima.

Marco


Especialista
Especialista

jeansilva escreveu:Marco, as regras de controle estão acima.

E as regras de desvio para o cache?

jeansilva

jeansilva
Colaborador Iniciante
Colaborador Iniciante

Marco escreveu:
jeansilva escreveu:Marco, as regras de controle estão acima.

E as regras de desvio para o cache?

Estão logo abaixo dessas aí que postei.

Marco


Especialista
Especialista

jeansilva escreveu:Estão logo abaixo dessas aí que postei.

Em qual linha?

Use o botão CODE na barra de formatação. Ajuda a ler o código melhor.

jeansilva

jeansilva
Colaborador Iniciante
Colaborador Iniciante

Marco, as regras do 1º post, são somente as regras de direcionamento pra pagina de corte, aviso e manutenção, respectivamente. As regras de redirecionamento do Thunder aqui no meu concentrador, estão logo abaixo dessas regras aí. Pelo que li nos fóruns, essas regras das paginas são colocadas acima dos redirecionamentos do cache. O problema é que bloqueio um cliente, mas ele continua navegando.

mjr88


MODERADOR
MODERADOR

jeansilva escreveu:Marco, as regras do 1º post, são somente as regras de
direcionamento pra pagina de corte, aviso e manutenção,
respectivamente. As regras de redirecionamento do Thunder aqui no meu
concentrador, estão logo abaixo dessas regras aí. Pelo que li nos
fóruns, essas regras das paginas são colocadas acima dos
redirecionamentos do cache. O problema é que bloqueio um cliente, mas
ele continua navegando.

Aceita os clientes bloqueados/com aviso no Mangle antes de ir pro Thunder. Só cole as regras no terminal do MK:

Código:
/ip firewall mangle add place-before=0 chain=prerouting src-address-list=pgaviso action=accept
/ip firewall mangle add place-before=0 chain=prerouting src-address-list=pgcorte action=accept

jeansilva

jeansilva
Colaborador Iniciante
Colaborador Iniciante

Mário a regra funcionou perfeito colocando-a acima da regra de redirecionamento do Thunder e abaixo da Regra de Redirecionamento da Pag de Corte. Mas com um porém: Só se cadastrar manual em /ip address list o ip do cliente bloqueado. Não teria uma forma de o cliente ser bloqueado e o ip dele automaticamente ja ser inserido no address list?

Marco


Especialista
Especialista

jeansilva escreveu:Mário a regra funcionou perfeito colocando-a acima da regra de redirecionamento do Thunder e abaixo da Regra de Redirecionamento da Pag de Corte. Mas com um porém: Só se cadastrar manual em /ip address list o ip do cliente bloqueado. Não teria uma forma de o cliente ser bloqueado e o ip dele automaticamente ja ser inserido no address list?

O Mk-AUTH usa esse mecanismo via SSH.

jeansilva

jeansilva
Colaborador Iniciante
Colaborador Iniciante

Marco escreveu:
jeansilva escreveu:Mário a regra funcionou perfeito colocando-a acima da regra de redirecionamento do Thunder e abaixo da Regra de Redirecionamento da Pag de Corte. Mas com um porém: Só se cadastrar manual em /ip address list o ip do cliente bloqueado. Não teria uma forma de o cliente ser bloqueado e o ip dele automaticamente ja ser inserido no address list?

O Mk-AUTH usa esse mecanismo via SSH.
Marco, nesse caso devo mudar então o corte de mangle para SSH?

Marco


Especialista
Especialista

jeansilva escreveu:Marco, nesse caso devo mudar então o corte de mangle para SSH?

O MK-AUTH coloca os IPs dos clientes bloqueados numa address list chamada `pgcorte'.

jeansilva

jeansilva
Colaborador Iniciante
Colaborador Iniciante

Marco escreveu:
jeansilva escreveu:Marco, nesse caso devo mudar então o corte de mangle para SSH?

O MK-AUTH coloca os IPs dos clientes bloqueados numa address list chamada `pgcorte'.

Mas qual a forma de corte configurada dentro do teu MK-AUTH? Mangle (x) ou SSH (x)?

Marco


Especialista
Especialista

jeansilva escreveu:Mas qual a forma de corte configurada dentro do teu MK-AUTH? Mangle (x) ou SSH (x)?

Em NAT:
Código:
;;; PG CORTE
chain=dstnat action=dst-nat to-addresses=187.nnn.nnn.nnn to-ports=85 protocol=tcp dst-address=!187.nnn.nnn.nnn src-address-list=pgcorte

É necessário habilitar o SSH no Mikrotik para que o MK-AUTH coloque os clientes bloqueados na lista `pgcorte'. O MK-AUTH deve ser configurado de acordo também.

Conteúdo patrocinado



Ir para o topo  Mensagem [Página 1 de 1]

Permissões neste sub-fórum
Não podes responder a tópicos