Redirect in-out...

[Joele]

Saluti a tutti ,
sto cercando(invano) la retta via per poter effettuare un redirect (credo) , spiego meglio:

rb493g - 1lan - 2 wan con attive 2 connessioni ppoe in load balance verso 2 provider diversi

Ho la necessità di redirigere le porte (sia in che out) 25 e 110 tcp di un singolo ip sulla lan , sempre sulla la stessa connessione ppoe , per esempio:
ip 10.0.0.1 sulla lan avvia outlook per rinviare e ricevere posta , tutti gli account sono con un provider(T.I) , e se in quel momento la connessione di uscita per quel ip è con l'altra ppoe (Voda) ottengo accesso negato..
Spero di essere stato chiaro.
Grazie.
Joele.

[g.marocchio]

Ciao,

source routing è la risposta....

immagino che se hai 2 connessioni bilanciate hai anche 2 tabelle di routing separate quindi :

Codice: Seleziona tutto

/ip route rules add src-address="ip di quello che vuoi far uscire sempre da na parte" action=lookup table="TabellaX"


e dovresti essere apposto
PS: se hai già regole di src routing.. metti questa sopra tutte.


Saluti GM

[piciccia]

credo che intenda una cosa molto + semplice.
Forse basta abilitare il NAT masquerading senza specificare l'interfaccia di uscita (che non serve).

Saluti
C.

[g.marocchio]

e ti fidi del conntrack??

[piciccia]

scusa non avevo visto la premessa, che devono essere entrambe attive ed in ingresso (che non funzionarà mai dato che IP cambia).
Comunque se vuole il balancing ci vuole NTH o meglio PCC per gestire il policy routing.

Saluti
C.

[Joele]

Grazie delle risposte..
il sistema di bilanciamento funziona ormai da mesi senza nessun problema..
A me interessava che il traffico "esclusivamente delle porte 25 e 110 per un solo ip della lan"deve passare da una connessione che decido io...
Cerco di spiegare meglio (se ci riesco):
il famoso ip della lan deve poter navigare con la connessione che il sistema di load balance decide ( e fin qui ci siamo ..funziona) , nel momento in cui l'ip in questione usa le porte 25 e 110 in entrata e uscita vorrei che automaticamente le richieste passassero attraverso la connessione ppoe che desidero io..

Grazie ancora gentilissimi...

[g.marocchio]

Fai un Export di /ip firewall

grazie

[Joele]

Servito!!

Codice: Seleziona tutto

# sep/27/2011 19:32:01 by RouterOS 5.5
# software id = xxx-xxx
#
/ip firewall address-list
add address=192.168.8.0/24 disabled=no list=Local_Nat_Networks
add address=192.168.8.150-192.168.8.160 disabled=no list=dhcp_list
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
    tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=\
    10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \
    tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s \
    udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
    disabled=yes
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no new-routing-mark=123 \
    passthrough=no src-address=192.168.8.10
add action=mark-routing chain=prerouting disabled=no new-routing-mark=123_1 \
    passthrough=no src-address=192.168.8.1
add action=mark-routing chain=prerouting disabled=no new-routing-mark=123_2 \
    passthrough=no src-address=192.168.8.2
add action=mark-routing chain=prerouting disabled=no new-routing-mark=car_123 \
    passthrough=no src-address=192.168.8.107
add action=mark-routing chain=prerouting disabled=no new-routing-mark=vas_123 \
    passthrough=no src-address=192.168.8.108
add action=mark-routing chain=prerouting disabled=no new-routing-mark=mas_123 \
    passthrough=no src-address=192.168.8.109
add action=mark-routing chain=prerouting disabled=no new-routing-mark=bur_123 \
    passthrough=no src-address=192.168.8.110
add action=mark-routing chain=prerouting disabled=no new-routing-mark=\
    luc_12 passthrough=no src-address=192.168.8.111
add action=mark-routing chain=prerouting disabled=no new-routing-mark=luc_123 \
    passthrough=no src-address=192.168.8.112
add action=mark-routing chain=prerouting disabled=no new-routing-mark=dan_123 \
    passthrough=no src-address=192.168.8.113
add action=mark-routing chain=prerouting disabled=no new-routing-mark=fre_123 \
    passthrough=no src-address=192.168.8.114
add action=mark-routing chain=prerouting disabled=no new-routing-mark=free1 \
    passthrough=no src-address-list=dhcp_list
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
    disabled=yes
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
    disabled=no src-address=192.168.8.0/24
add action=accept chain=pre-hotspot comment="riga aggiunta per hot spot" \
    disabled=no dst-address-type=!local hotspot=auth
add action=masquerade chain=srcnat disabled=no out-interface=pppoe_1
add action=masquerade chain=srcnat disabled=no out-interface=pppoe_2

/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061
set pptp disabled=no


[piciccia]

nel momento in cui l'ip in questione usa le porte 25 e 110 in entrata e uscita vorrei che automaticamente le richieste passassero attraverso la connessione ppoe che desidero io..

Appunto !
Lo puoi fare solo se da fuori (quindi in ingresso) sai qual'è l'IP, quindi la connessione la decide chi entra e non tu !!
In uscita puoi fare quello che vuoi, ma in entrata no, a meno che la connessione non sia stata iniziata dall'interno.
Ma se devi esporre un server di posta, non puoi farlo, perchè saranno i client ad iniziare la connessione, e da dove sono entrati escono.
Potresti giocare con gli MX record e mettere tutti e due gli IP con pesi diversi...... ma è da provare.

Saluti
C.

[g.marocchio]

quando ero "ragazzino", ahime oramai 10 anni fa... e avevo un "server" a casa sulla 256/128k di telecom.. avevo un dyndns con ttl bassissimo.. per consegnarmi la posta.. funzionava.. apparte quando cambiava ip che bisognava aspettare che si ripropagasse la modifica..


bei tempi