MK-AUTH

Olá pessoal, estou com seguinte cenário BGP=A10 GCNAT=CCR POOL 100.64.0.0/16

como o A10 está fazendo o papel de cgnat, na ccr desativei todas nat, e desativei o conection tack, mas desta forma a regra de PG_CORTE  fica em vermelho, pois o conection track se destativar todas regras de nat não funcionam, como proceder para meus cliente com a pool de cgnat recebam a PG_CORTE ?

segue as regras de firewall connection track ativo


/ip firewall address-list
add address=8.8.8.8 list=Consulta_DNS
add address=168.205.248.30 list=Consulta_DNS
add address=168.205.248.22 list=Consulta_DNS
add address=10.0.9.60 comment=ssh_corte_mercedes@cabo list=pgcorte
add address=10.0.2.77 comment=ssh_corte_michael@cabo list=pgcorte
add address=10.0.2.251 comment=ssh_corte_souza01 list=pgcorte
add address=10.0.2.106 comment=ssh_corte_sandra_sp list=pgcorte
add address=10.0.6.20 comment=ssh_corte_edial list=pgcorte
add address=10.0.5.235 comment=ssh_corte_alexcarlos list=pgcorte
add address=10.0.2.19 comment=ssh_corte_jandiara@cabo list=pgcorte
add address=10.0.3.77 comment=ssh_corte_dena list=pgcorte
add address=10.0.3.174 comment=ssh_corte_zenaide list=pgcorte
add address=10.0.6.21 comment=ssh_corte_beta list=pgcorte
add address=10.0.3.80 comment=ssh_corte_danilopes list=pgcorte
add address=10.0.5.131 comment=ssh_corte_andreson list=pgcorte
add address=10.0.2.253 comment=ssh_corte_claudiadantas list=pgcorte
add address=10.0.5.121 comment=ssh_corte_isaurina list=pgcorte
add address=10.0.6.192 comment=ssh_corte_adedson list=pgcorte
add address=10.0.5.123 comment=ssh_corte_flaviane@br list=pgcorte
add address=10.0.5.225 comment=ssh_corte_Edineu.silva list=pgcorte
add address=10.0.6.57 comment=ssh_corte_43600946803 list=pgcorte
add address=10.0.2.72 comment=ssh_corte_alecxantonio@cabo list=pgcorte
add address=10.0.3.152 comment=ssh_corte_cristiane@mendes list=pgcorte
add address=10.0.2.103 comment=ssh_corte_daiane list=pgcorte
add address=10.0.5.206 comment=ssh_corte_ALLANFRANCA list=pgcorte
add address=10.0.2.209 comment=ssh_corte_erisvaldosantos list=pgcorte
add address=10.0.2.214 comment=ssh_corte_seltringabi list=pgcorte
add address=10.0.2.109 comment=ssh_corte_rosecleide list=pgcorte
add address=10.0.2.127 comment=ssh_corte_danilo@cabo list=pgcorte
add address=10.0.3.169 comment=ssh_corte_gelvania@antena list=pgcorte
add address=10.0.2.162 comment=ssh_corte_debora@cabo list=pgcorte
add address=10.0.2.24 comment=ssh_corte_eliane@cabo list=pgcorte
add address=10.0.3.67 comment=ssh_corte_erik@rfamilia.6.22 list=\
pgcorte
add address=10.0.3.2 comment=ssh_corte_angela@cabo list=pgcorte
add address=10.0.5.164 comment=ssh_corte_jessicarabelo@cabo list=\
pgcorte
add address=10.0.5.186 comment=ssh_corte_margarete list=pgcorte
add address=10.0.6.112 comment=ssh_corte_nyna list=pgcorte
add address=10.0.4.22 comment=ssh_corte_flaviane list=pgcorte
add address=10.0.2.37 comment=ssh_corte_vitorsp list=pgcorte
add address=10.0.3.209 comment=ssh_corte_soniamaria list=pgcorte
add address=10.0.2.255 comment=ssh_corte_katiaa list=pgcorte
add address=10.0.5.168 comment=ssh_corte_mariamiga list=pgcorte
add address=10.0.3.244 comment=ssh_corte_paulohenrique@fibra list=\
pgcorte
add address=10.0.2.59 comment=ssh_corte_leonardosantos list=pgcorte
add address=10.0.6.104 comment=ssh_corte_mrl list=pgcorte
add address=10.0.6.51 comment=ssh_corte_kerolin list=pgcorte
add address=10.0.6.70 comment=ssh_corte_lucymara.123 list=pgcorte
add address=10.0.5.15 comment=ssh_corte_36763275862 list=pgcorte
add address=10.0.5.157 comment=ssh_corte_22153676878 list=pgcorte
add address=10.0.2.110 comment=ssh_corte_maria@sebastiao list=pgcorte
add address=10.0.5.108 comment=ssh_corte_27769553830 list=pgcorte
add address=10.0.2.51 comment=ssh_corte_38650755844 list=pgcorte
add address=10.0.2.205 comment=ssh_corte_joselima list=pgcorte
add address=10.0.5.118 comment=ssh_corte_william list=pgcorte
add address=10.0.3.196 comment=ssh_corte_michele@cabo list=pgcorte
add address=10.0.2.222 comment=ssh_corte_luis@antena list=pgcorte
add address=10.0.3.113 comment=ssh_corte_87758911404 list=pgcorte
add address=10.0.6.193 comment=ssh_corte_thiagosoares@cabo list=\
pgcorte
add address=10.0.6.76 comment=ssh_corte_sandramaria@fibra list=pgcorte
add address=10.0.2.242 comment=ssh_corte_adrianorodrigues@fibra list=\
pgcorte
add address=10.0.5.178 comment=ssh_corte_sallen@cabo list=pgcorte
add address=10.0.2.152 comment=ssh_corte_quiteria list=pgcorte
add address=10.0.5.45 comment=ssh_corte_derson list=pgcorte
add address=10.0.2.220 comment=ssh_corte_paulo@souza.com list=pgcorte
add address=10.0.5.112 comment=ssh_corte_mariagracas@yt list=pgcorte
add address=10.0.0.10 comment=ssh_corte_danielsilva@fibra list=pgcorte
add address=10.0.3.234 comment=ssh_corte_expedita@cabo list=pgcorte
add address=100.64.6.123 comment=ssh_corte_priscilafeitosa@cabo list=\
pgcorte
add address=10.0.1.25 comment=ssh_corte_padaria list=pgcorte
add address=100.64.7.142 comment=ssh_corte_edcleia@fibra list=pgcorte
add address=10.0.6.71 comment=ssh_corte_josefarias list=pgcorte
add address=10.0.3.97 comment=ssh_corte_43219809847 list=pgcorte
add address=10.0.6.137 comment=ssh_corte_vanicleidesantos@cabo list=\
pgcorte
add address=10.0.2.28 comment=ssh_corte_luzinete@cabo list=pgcorte
add address=10.0.3.117 comment=ssh_corte_39478078801 list=pgcorte
add address=10.0.5.19 comment=ssh_corte_brunogomes@cabo list=pgcorte
add address=10.0.6.79 comment=ssh_corte_anatalia@cabo list=pgcorte
add address=10.0.3.21 comment=ssh_corte_abraao@antena list=pgcorte
add address=10.0.3.166 comment=ssh_corte_joao@cabo list=pgcorte
add address=10.0.3.186 comment=ssh_corte_felipe@cabo list=pgcorte
add address=10.0.0.45 comment=ssh_corte_fernando@fibra list=pgcorte
add address=10.0.6.15 comment=ssh_corte_sirlete list=pgcorte
add address=10.0.6.135 comment=ssh_corte_liliane@fibra list=pgcorte
add address=10.0.6.233 comment=ssh_corte_soumais@fibra list=pgcorte
add address=10.0.6.139 comment=ssh_corte_fabiolalomes@fibra list=\
pgcorte
add address=10.0.6.93 comment=ssh_corte_fatimaoliveira@cabo list=\
pgcorte
add address=10.0.6.3 comment=ssh_corte_ronaldodomingues@cabo list=\
pgcorte
add address=10.0.6.2 comment=ssh_corte_reginaldogiglio@fibra list=\
pgcorte
add address=10.0.7.89 comment=ssh_corte_alexandremarques@fibra list=\
pgcorte
add address=10.0.2.58 comment=ssh_corte_alexsandroleoncio@fibra list=\
pgcorte
add address=10.0.7.54 comment=ssh_corte_deboranovaes@fibra list=\
pgcorte
add address=10.0.2.25 comment=ssh_corte_victorhugo@cabo list=pgcorte
add address=10.0.7.246 comment=ssh_corte_leonardodiniz@fibra list=\
pgcorte
add address=10.0.7.32 comment=ssh_corte_pedrojesus@cabo list=pgcorte
add address=100.64.7.31 comment=ssh_corte_leonelsilva@fibra list=\
pgcorte
add address=100.64.7.30 comment=ssh_corte_thaissousa@fibra list=\
pgcorte
/ip firewall connection tracking
set loose-tcp-tracking=no
/ip firewall filter
add action=accept chain=input comment=iWinbox-SNMP dst-port=161 \
protocol=udp
add action=accept chain=forward comment=\
"=========consulta dns==========" src-address-list=Consulta_DNS
add action=accept chain=forward dst-address-list=Consulta_DNS
/ip firewall nat
add action=dst-nat chain=dstnat comment="=pgcorte=" dst-port=80-443 \
protocol=tcp src-address-list=pgcorte to-addresses=168.205.x.20 \
to-ports=85
add action=dst-nat chain=dstnat comment="=pgcorte=zap" dst-port=\
4244-5242 protocol=tcp src-address-list=pgcorte to-addresses=\
168.205.x.20 to-ports=85

out-interface=ether1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
[djjeantechno@CCR-1036-41 Clientes 182] /ip firewall>

Exibições: 75

Responder agora

Respostas a este tópico

detalhe e não atualizou para range nova

Uma dica, se vc for provedor licenciado pela Anatel, não use pagina de bloqueio, pois ja foi proibido a muito tempo, isso pode gerar constrangimento para seu cliente e um processo contra sua empresa.

Fica experto, procure se atualizar com as novas legislações, evite problemas pra vc e sua empresa...

Somente está , entre em contato com a nossa central de Atendimento , nada mais que isso..

Na regra de captura dos pacotes dos ips do cgnat, em mangle, vc precisa colocar a exceção para o ip do mk-auth...

Vamos lá, você tem algumas opções a considerar.

Em primeiro lugar, existem 3 opções de configuração de conntrack

1 - Fasttrack
Não controla banda(queue)
Não aceita filtro firewall
Salta recursos, mas deixa passar pela conntrack


2 - No-track
Controla banda(queue)
Aceita filtros firewall
Mantém alguns recursos, mas salta conntrack


3 - Desativar a Conntrack
Não aceita NAT
Não marca conexões
Não analisa estado de conexões

Responder à discussão

RSS

parcerias

© 2020   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço