Adicionando exceções ao proxy Mikrotik V3.XX

Publicado por André A. Ferreira em 09/07/2008

[ Hits: 26.119 ]

0 0

Denuncie Favoritos Indicar Impressora

Adicionando exceções ao proxy Mikrotik V3.XX

Como fazer um cliente de um servidor Mikrotik passar fora do proxy? Existem várias formas e a mais utilizada é criar uma segunda range de IPs para isto, mas neste artigo você vai aprender a fazer dentro da mesma range de IPs, e pra facilitar a vida, criando uma lista de IPs bem fácil de adicionar às exceções.

Vamos ao cenário:

Você tem um proxy mikrotik (que pode ser Linux em paralelo como em: Proxy em paralelo com o mikrotik ou simples proxy somente no mikrotik) e a classe de rede interna dos clientes, vamos considerar que seja 192.168.0.1/24.

Então em IP > FIREWALL > NAT temos a regra que faz o direcionamento da porta 80 para 3128, que é onde funciona atualmente o seu proxy, esta regra deve estar assim:

;;; REGRA QUE HABILITA E DESABILITA PROXY
     chain=dstnat action=redirect to-ports=3128 src-address=192.168.0.0/24
     dst-address=!IP_VALIDO_MK in-interface=REDE_INTERNA
     dst-port=80 protocol=tcp

Para facilitar, observe as figuras 01 e 02:

Esta regra força todo tráfego da porta 80 a passar na porta 3128, onde seu proxy já esta devidamente configurado e funcionando, então vamos alterá-la para ficar assim:

;;; REGRA QUE HABILITA E DESABILITA PROXY
     chain=dstnat action=redirect to-ports=3128 src-address=192.168.0.0/24
     dst-address=!IP_VALIDO_MK src-address-list=!semproxy in-interface=REDE_INTERNA
    dst-port=80 protocol=tcp

Para ficar mais fácil de fazer, vou mostrar exatamente como deve ser a regra digitada no NEW TERMINAL, claro que você só terá que alterar os campos src-address=192.168.0.0/24 para a real situação da sua classe de IPs nos clientes e também o campo dst-address=!IP_VALIDO_MK para ip válido do seu mikrotik, como em dst-address=!200.200.200.200.

Vamos à regra:

Digite no NEW TERMINAL:

# ip firewall add action=redirect chain=dstnat comment=\
    "REGRA QUE HABILITA E DESABILITA PROXY" disabled=no dst-address=\
    !IP_VALIDO_MK dst-port=80 in-interface=REDE protocol=tcp src-address=\
    192.168.0.0/24 src-address-list=!semproxy to-ports=3128

Veja que dessa forma criamos uma regra normal somente com um adicional (src-address-list=!semproxy), que diz ao roteador que esta regra será aplicada a este range de IPs, exceto a lista de ips chamada "semproxy".

Veja a diferença na figura 03:

Vamos à criação da lista:

Acesse o menu dentro do winbox IP > FIREWALL > ADDRESS LISTS

Clique em + e adicione no campo NAME a palavra: "semproxy" sem aspas e no campo ip adicione o ip que deseja que passe por fora do proxy, exemplo: 192.168.0.15.

Você pode ainda adicionar um comentário a este ip usando o botão COMMENT para identificar o "dono" do ip, como por exemplo: IP da contabilidade da empresa, ou somente fulano ou ciclano.

Observe a figura 04:

Pronto, agora quando você precisar adicionar alguma exceção é só adicionar em ADDRESS LISTS quantas exceções você precisar.

Bom pessoal, é isso, espero que gostem, apliquem, alterem para necessidade de vocês, aplicando assim a finalidade deste artigo, copiem a vontade, não se esqueçam de mencionar autoria e fontes.

Abraços.
André A. Ferreira.
Datanet Soluções.

Outras dicas deste autor

Mikrotik - bug encontrado nas versões 3.4, 3.5, 3.6 e 3.7

Leitura recomendada

Funções de diretórios

Bentoo Linux (distro brasileira)

Symfony - Introdução ao framework

Definição de senha para uma página da web

Instalando o Slax - Configurando wireless

Comentários

Nenhum comentário foi encontrado.