FPI - Fórum para Provedores de Internet
Gostaria de reagir a esta mensagem? Crie uma conta em poucos cliques ou inicie sessão para continuar.
FPI - Fórum para Provedores de Internet


Você não está conectado. Conecte-se ou registre-se

Regras de redirecionamento em conflito

5 participantes

Ir para baixo  Mensagem [Página 1 de 1]

corujitu


Colaborador Iniciante
Colaborador Iniciante

Olá amigos,

Bom dia.

Mais uma vez recorro ao fórum para pedir ajuda aos amigos.

A questão acredito que seja simples.

Tenho uma regra de redirecionamento na porta 80 na tabela MANGLE. Essa regra pega todos os pacotes na porta 80 e joga eles pro Servidor Thundercache.
Na mesma RB tenho uma regra na tabela NAT redirecionando a porta 80 pra o Servidor MK-Auth.

So que essa regra do NAT só funciona quando eu desabilito a regra da tabela MANGLE, obviamente elas estão se conflitando, mas imagino que a solução seja simples, porém não tenho idéia de como resolver.

Então estou aqui, pedindo ajuda mais uma vez aos amigos.

Caso eu não tenha sido muito claro, fico a disposição pra qualquer pergunta.

Abraço e desde já agradeço.

demattos

demattos
MODERADOR
MODERADOR

corujitu escreveu:Olá amigos,

Bom dia.

Mais uma vez recorro ao fórum para pedir ajuda aos amigos.

A questão acredito que seja simples.

Tenho uma regra de redirecionamento na porta 80 na tabela MANGLE. Essa regra pega todos os pacotes na porta 80 e joga eles pro Servidor Thundercache.
Na mesma RB tenho uma regra na tabela NAT redirecionando a porta 80 pra o Servidor MK-Auth.

So que essa regra do NAT só funciona quando eu desabilito a regra da tabela MANGLE, obviamente elas estão se conflitando, mas imagino que a solução seja simples, porém não tenho idéia de como resolver.

Então estou aqui, pedindo ajuda mais uma vez aos amigos.

Caso eu não tenha sido muito claro, fico a disposição pra qualquer pergunta.

Abraço e desde já agradeço.

Post as regras, bom o conflito esta ocorrendo agora por que a posta 80 do mk-auth, vc esta provendo a pagina?

http://www.criciumanet.com.br

corujitu


Colaborador Iniciante
Colaborador Iniciante

As duas regras são as seguintes:

########## Redirecionamento - MK-Auth ##########
chain=dstnat action=dst-nat to-addresses=172.16.8.4 to-ports=80 protocol=tcp dst-port=8085

########## Marca o de Pacotes Para Servidor Thundercache ##########
chain=prerouting action=mark-routing new-routing-mark=thunder-route passthrough=yes protocol=tcp dst-address-list=!NO_CACHE in-interface=!ether10 - Thundercache
port=80 src-mac-address=!00:1E:C9:D6:E7:82

Eu só consigo usar o redirecionamento da primeira regra na tabela NAT, quando eu desabilito a regra da MANGLE.

Fico no aguardo.

demattos

demattos
MODERADOR
MODERADOR

corujitu escreveu:As duas regras são as seguintes:

########## Redirecionamento - MK-Auth ##########
chain=dstnat action=dst-nat to-addresses=172.16.8.4 to-ports=80 protocol=tcp dst-port=8085

########## Marca o de Pacotes Para Servidor Thundercache ##########
chain=prerouting action=mark-routing new-routing-mark=thunder-route passthrough=yes protocol=tcp dst-address-list=!NO_CACHE in-interface=!ether10 - Thundercache
port=80 src-mac-address=!00:1E:C9:D6:E7:82

Eu só consigo usar o redirecionamento da primeira regra na tabela NAT, quando eu desabilito a regra da MANGLE.

Fico no aguardo.

bom em análise todo tráfego que não venha da porta ether10 esta sendo marcado para ir para o cache ok, aí vem a pergunta a primeira regra e esta tratando tráfego entrante por qual ether?

http://www.criciumanet.com.br

corujitu


Colaborador Iniciante
Colaborador Iniciante

Bom,

De onde eu estou agora, o tráfego estaria entrando pela ETHER2.

Porém seria interessante, que eu pudesse acessar de qualquer outra ETHER, já que nem sempre eu vou acessar de onde estou agora.

Vai existir momentos que eu vou ter que acessar esse server, estando entrando por outra ETHER, como por exemplo a ETHER4.

Tô no aguardo.

corujitu


Colaborador Iniciante
Colaborador Iniciante

Ola amigos,

boa tarde.

Alguém poderia dar uma olhada nessas regras e ver o que eu posso fazer pra que as duas funcionem em conjunto?

Fico no aguardo..

Abraço

rogeriodj


Especialista
Especialista

Vc tem de informar qual interface chega a internet para ser redirecionado para o mk-auth!!

demattos

demattos
MODERADOR
MODERADOR

corujitu escreveu:Ola amigos,

boa tarde.

Alguém poderia dar uma olhada nessas regras e ver o que eu posso fazer pra que as duas funcionem em conjunto?

Fico no aguardo..

Abraço

Boa noite, estou aqui na correria minha esposa está para dar a luz este último mês de gravidez esta complicado, bom mas vamos ao que interessa, sua rb esta com a ether em bridge ou switch, vc usa uma faixa de ip diferente ou a possibilidade disso para sair da marcação de pacotes?

http://www.criciumanet.com.br

corujitu


Colaborador Iniciante
Colaborador Iniciante

Boa tarde

O link pra essa RB entra pela ETHER2 (mesma ETHER por onde estou acessando os radios e servidores que estao sendo redirecionados).

Porém seria interessante, que eu pudesse acessar de qualquer outra
ETHER, já que nem sempre eu vou acessar de onde estou agora, ou seja, pela ETHER2.

Vai existir momentos que eu vou ter que acessar esse server, estando entrando por outra ETHER, como por exemplo a ETHER4.

Não uso bridge e as faixas de ips sao completamente diferentes. Uso OSPF.

Espero que eu tenha sido compreendido. Caso nao, estou aqui pra tentar ser mais claro e mais detalhista caso precisem.

Tô no aguardo.

Abraços.

corujitu


Colaborador Iniciante
Colaborador Iniciante

Ola amigos.

Ainda estou no aguardo de alguma informação sobre essas regras em conflito.

Abraço a todos.

Renato


MODERADOR
MODERADOR

Amigo vc usa essa regra de nat para o mk-auth é para corte de clientes ?

Se for isso apenas tire a porta 80 desta regra nat deixando somente protocolo tcp.

As duas regras ( nat + mangle ) com a porta 80 não vai funcionar .

demattos

demattos
MODERADOR
MODERADOR

corujitu escreveu:Ola amigos.

Ainda estou no aguardo de alguma informação sobre essas regras em conflito.

Abraço a todos.

O maior problema que sta ocorrendo e que a porta 80 esta sendo marcada e redirecionada e vc acessa seu mk-auth interna e externa eu sugiro vc trocar a porta no mk-auth para outra porta, acredito q vc use esta porta que a porta de gerencia do sistema, entao nao teria problema trocar a porta. E uma saida, para o problema.

http://www.criciumanet.com.br

corujitu


Colaborador Iniciante
Colaborador Iniciante

demattos escreveu:
corujitu escreveu:Ola amigos.

Ainda estou no aguardo de alguma informação sobre essas regras em conflito.

Abraço a todos.

O maior problema que sta ocorrendo e que a porta 80 esta sendo marcada e redirecionada e vc acessa seu mk-auth interna e externa eu sugiro vc trocar a porta no mk-auth para outra porta, acredito q vc use esta porta que a porta de gerencia do sistema, entao nao teria problema trocar a porta. E uma saida, para o problema.

Ola amigo demattos e demais do forum.

Nao posso mudar a porta do webadmin do MK-Auth, pelo menos foi o que disse o Pedro Filho (criador do sistema).

Então tenho que arrumar outra forma de chegar até esse servidor, sem ter que desabilitar a regra do MANGLE.

Ainda no aguardo de alguma ideia.

Abraço

Renato


MODERADOR
MODERADOR

Amigo vamos dizer que vc quer acesso de fora da rede ou interface difernete da sua rb para chegar ao seu Mk-auth faça o seguinte .

add action=dst-nat chain=dstnat disabled=no dst-port=81 in-interface=link protocol=tcp to-addresses=172.16.8.4 to-ports=80

Ai quando estiver fora da sua rede acrescenta : seu ip, seudomino.com.br:81 vai chegar ate seu mk-auth na porta 80 sem problema.

Agora se vc estiver dentro da sua rede coloque uma excessão para o ip do mk-auth nao participar da regra de mangle que vai para o cache .

add action=mark-routing chain=prerouting disabled=no dst-address=!172.16.8.4 dst-port=80 new-routing-mark=cache passthrough=no protocol=tcp


As regras não vai ser identicas as suas mais é somente vc adaptar as portas e as interfaces corretas para seu cenario .

corujitu


Colaborador Iniciante
Colaborador Iniciante

megabyte escreveu:Amigo vamos dizer que vc quer acesso de fora da rede ou interface difernete da sua rb para chegar ao seu Mk-auth faça o seguinte .

add action=dst-nat chain=dstnat disabled=no dst-port=81 in-interface=link protocol=tcp to-addresses=172.16.8.4 to-ports=80

Ai quando estiver fora da sua rede acrescenta : seu ip, seudomino.com.br:81 vai chegar ate seu mk-auth na porta 80 sem problema.

Agora se vc estiver dentro da sua rede coloque uma excessão ( o ip do mk-auth para nao participar da regra ) na regra de mangle que vai para o cache

add action=mark-routing chain=prerouting disabled=no dst-address=!172.16.8.4 dst-port=80 new-routing-mark=cache passthrough=no protocol=tcp


As regras não vai ser identicas, mais é somente vc adaptar as portas e as interfaces corretas para seu cenario

Amigo megabyte,

Fiz a mudança que voc~e sugeriu mas não deu certo. Se eu coloco no dst-address=172.16.8.4 dessa forma, entra no MK-Auth, mas não marca pacotes na regra MANGLE. Se eu coloco no dst-address=!172.16.8.4 (com a excessão), dessa forma marca os pacotes da regra MANGLE, mas aí nao entra no MK-Auth.

Ainda sem solução.

Renato


MODERADOR
MODERADOR

Dá uma conferida pois aqui consigo marcar a porta 80 pelo mangle e acesso o mK-auth normalmente.

add action=mark-routing chain=prerouting comment=alguns disabled=no dst-address=!192.125.125.1 dst-address-list=!NO_CACHE dst-port=80 new-routing-mark=teste passthrough=no protocol=tcp src-address=10.0.0.6

Meu ip maquina local 10.0.0.6 . Redirecionei somente este ip ( 10.0.0.6 ) pois nao posso redirecionar toda a rede. Este IP e a porta 80 vai para sair pela tabela de roteamento teste. Pode ser outro link de internet ou cache )

Ip do mk-auth 192.125.125.1 Coloquei a excessão e o acesso foi normal ate o mk-auth

corujitu


Colaborador Iniciante
Colaborador Iniciante

megabyte escreveu:Dá uma conferida pois aqui consigo marcar a porta 80 pelo mangle e acesso o mK-auth normalmente.

add action=mark-routing chain=prerouting comment=alguns disabled=no dst-address=!192.125.125.1 dst-address-list=!NO_CACHE dst-port=80 new-routing-mark=teste passthrough=no protocol=tcp src-address=10.0.0.6

Meu ip maquina local 10.0.0.6 . Redirecionei somente este ip ( 10.0.0.6 ) pois nao posso redirecionar toda a rede. Este IP e a porta 80 vai para sair pela tabela de roteamento teste. Pode ser outro link de internet ou cache )

Ip do mk-auth 192.125.125.1 Coloquei a excessão e o acesso foi normal ate o mk-auth

Meu caro megabyte e amigos do fórum.

Coloquei essas regras aqui, e nada. Ou não acesso o redirecionamento ou os pacotes não são marcados.

O negócio aqui ta brabo.

Ainda acompanhando.

Abraço

mjr88


MODERADOR
MODERADOR

corujitu escreveu:As duas regras são as seguintes:

########## Redirecionamento - MK-Auth ##########
chain=dstnat action=dst-nat to-addresses=172.16.8.4 to-ports=80 protocol=tcp dst-port=8085

########## Marca o de Pacotes Para Servidor Thundercache ##########
chain=prerouting action=mark-routing new-routing-mark=thunder-route passthrough=yes protocol=tcp dst-address-list=!NO_CACHE in-interface=!ether10 - Thundercache
port=80 src-mac-address=!00:1E:C9:D6:E7:82

Eu só consigo usar o redirecionamento da primeira regra na tabela NAT, quando eu desabilito a regra da MANGLE.

Fico no aguardo.

Tenta aceitar o trafego do MK-Auth antes de mandar pro Thunder:

Código:
/ip firewall mangle add place-before=0 chain=prerouting action=accept dst-address=172.16.8.4 comment="Aceita MK-Auth"
/ip firewall mangle add place-before=0 chain=prerouting action=accept src-address=172.16.8.4

Assim todo o trafego vindo ou indo pro MK-Auth não será enviado ao Thunder.

Conteúdo patrocinado



Ir para o topo  Mensagem [Página 1 de 1]

Permissões neste sub-fórum
Não podes responder a tópicos