quarta-feira, 14 de janeiro de 2009

Liberando o conectividade social no Mikrotik

Esse cenário considerou que seu servidor mikrotik está funcionando perfeitamente e você precisa apenas liberar o conectividade social para que os usuários de internet de sua empresa passem a usar o mesmo sem problemas.

Acesse o servidor via Winbox. Clique em IP, depois em FIREWALL e na janela que abriu clique na aba NAT. Deverá ser listado suas regras de Nat, masquerade e etc... Clique sobre a regra que compartilha a internet para a sua rede interna que certamente é igual à regra abaixo:

Chain=dsnat, protocol=6(tcp), dst. Port:80, não sei se você declarou no campo in. Interface a interface de rede no meu caso eu declarei onde a minha rede interna é a ether1, então o campo ficou assim: in.interface=ether1 e na aba ACTION no campo action:redirect, to ports: 3128 onde 3128. Esta é a porta do meu Proxy.

Regra atual: chain=dsnat, protocol=6(tcp), dst. Port:80 in. Interface=ether1, action=redirect, to, ports:3128

Vamos agora liberar o conectividade social e para que isso aconteça essa regra deverá ser modificada ficando assim:

Regra completa com a liberação do conectividade social: chain=dsnat, dst. Address: !200.201.174.207, protocol=6(tcp), dst. Port:80 in. Interface=ether1, action=redirect, to, ports:3128

Ou seja, independentemente da sua regra está ou não igual a minha para compartilhar a internet, basta que você dê dois cliques sobre a sua regra vá até a aba GENERAL na janela que se abriu e no campo DST. ADDRESS: clique na setinha ao lado para habilitar o campo e preencha o campo com esse endereço ip: 200.201.174.207 e clique na caixinha que terá antes desse ip para que apareça um sinal de ! antes do endereço ip ficando como na figura abaixo:



Esse é um endereço ip da Caixa Econômica Federal.

Pronto, agora clique em ok e você só precisará ir até uma estação de trabalho ou computador da rede que tenha o conectividade social e testar.

Abraço.

10 comentários:

  1. Primeiramente gostaria de agradecer pela disposição em tirar nossas duvidas foi muito bacana da sua parte.
    Mas se me permite, gostaria de te passar meu cenario
    Utilizo o Mk pra roteamento, balanceamento, autenticação etc + linux como servidor proxy em paralelo de modo transparente, então observando a regra que vc passou percebi uma "imcompatibilidade" na edição do campo dst adress, haja visto que na minha regra hoje ele ta ocupado com o ip do linux proxy, então crie uma entrada nova da forma que vc postou pra ficar acima da minha de redirecionamento pro linux, onde minhas regras são as seguinte:
    Masquarede Linux
    chain=srcnat,src.address=192.168.6.0/30,action=masquerade
    chain=dstnat,src.address=192.168.0.0/24,dst.address=!192.168.6.2,protocol=6tcp,dst.port=80,in.interface=clientes,action=redirect,to ports=3128

    Agradeço de forma antecipada
    jeanfrank - under-linux.org

    ResponderExcluir
  2. coloque esta regra antes de redicionar para o proxy

    chain=dstnat action=accept dst-address=200.201.174.0/24

    ResponderExcluir
  3. Valeu vilmar vou testar aqui e te falo depois obrigado pela ajuda

    abraço

    ResponderExcluir
  4. Vilmar, como faço para entrar em contato contigo para que possamso ver o que se pode fazer em m eu MK? Algum tel ou msn? Tenho um link adsl que funcionava bem há uma semana, depois de um pau que a telefônica sofreu aki em SP, ele passou a não "liberar" internet, se coloco num pc sozinho, navego noraml, coloco no servidor, ai nada passa, vejo que há entrada de internet mas a mesma não sai, pingo sites como uol por exemplo, e nada. Vc pode me dar uma luz? saafyra@hotmail.com
    Desde já agradeço !!!!

    ResponderExcluir
  5. Galera, para deixar como consulta se alguem precisar futuramente. Para quem não usa proxy, basta declarar as regras:

    add action=accept chain=forward comment="Conectividade Social" disabled=no dst-port=2631 protocol=tcp src-address=200.201.174.0/24

    add action=accept chain=forward comment="Conectividade Social" disabled=no dst-address=200.201.174.0/24 dst-port=2631 protocol=tcp

    add action=accept chain=forward comment="Conectividade Social" disabled=no dst-port=80 protocol=tcp src-address=200.201.174.0/24

    add action=accept chain=forward comment="Conectividade Social" disabled=no dst-address=200.201.174.0/24 dst-port=80 protocol=tcp

    add action=accept chain=forward comment="Conectividade Social" disabled=no protocol=tcp src-address=200.201.174.0/24 src-port=80

    add action=accept chain=forward comment="Conectividade Social" disabled=no dst-address=200.201.174.0/24 protocol=tcp src-port=80

    add action=accept chain=forward comment="Conectividade Social" disabled=no protocol=tcp src-address=200.201.174.0/24 src-port=2631

    add action=accept chain=forward comment="Conectividade Social" disabled=no dst-address=200.201.174.0/24 protocol=tcp src-port=2631

    ResponderExcluir
  6. Olá pra todos, tenho uma RB-433 e queria saber se alguem pode me dizer como abir portas nela para eMule, Lime wire, Ares, meus clientes nao conseguem baixar nada so tenho no MK uma regra de p2p nunk fiz nada na aba nat como vcs nesionaram encima! se alguem podem me responder agradeço desde já pawergryngo@yahoo.com.br (BH MINAS)

    ResponderExcluir
  7. "Gryngo" vai ae a regra pra vc mano


    Vamos lá:

    Esta seria a regra para liberar para um IP específico e uma porta específica.

    /ip firewall nat

    add chain=dstnat in-interface=pppoe-out1 protocol=tcp dst-port=47870 \
    action=dst-nat to-addresses=10.0.0.1 to-ports=47870 comment="EMULE - \
    DAVID" disabled=no
    add chain=dstnat in-interface=pppoe-out1 protocol=udp dst-port=36981 \
    action=dst-nat to-addresses=10.0.0.1 to-ports=36981 comment="" disabled=no

    Onde o "pppoe-out1" é a interface de entrada (ligada ao modem), "dst-ports" a porta que quer liberar e "to-address" é o IP que terá a porta liberada; Faça o teste. funciona perfeitamente com EMULE.

    ResponderExcluir
  8. Olá, estou com um problema:

    Estou utilizando um servidor de cameras Geovision sob o mikrotik. Utilizo também o DDNS da própria Geovision que depois de rodar retorna o seguinte:

    zzz.dipmap.com (IP: XXX.XXX.XXX.XXX)

    Dentro da rede mikrotik acesso sem problemas através do I.E.: digito zzzz.dipmap.com:3128 e o acesso se dá sem problemas. Também posso digitar XXX.XXX.XXX.XXX:3128 com o mesmo resultado.
    Como peguei o servidor mikrotik de outra pessoa, estou meio perdido. Com certeza a porta 80 foi redirecionada para a 3128.

    Preciso acessar este servidor via externo tanto TCP quanto UDP com as seguintes portas: 4550, 5550 e 6550 além da 80 (ou 3128). Porem mesmo definindo regras no firewall continuo sem conectar.

    Estou usando o ip fixo interno 172.17.0.YYY e só deverá ir para este ip.

    Poderia passar as regras?

    Estou usando winbox.

    obrigado.

    Martin.

    ResponderExcluir
  9. estas são muito boas, se alguém precisa de manutenção em mikrotik ou em servidor BFW ou mikrotik+cache estamos ai, ok contato: m.our@hotmail.com

    ResponderExcluir