IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Exemples de configuració

DNAT i multigateway

La situació és la següent:

  • Tenim un router amb routeros i múltiples accessos a Internet per línies ADSL (WANS)
  • Només una de les línies ADSL és el gateway per defecte. Amb aquesta configuració només es poden obrir ports (DNAT) al router ADSL per defecte. Si obrim ports a un altre router ADSL els paquets entraran per aquella ADSL però de retorn aniran per la ADSL per defecte. El resultat és que el port surt normalment com a filtered a nmap
                                                                        DNAT: Port extern:22 Port Intern:22 IP interna: 172.26.0.1. Configuració ots dos routers
                                                                        ---------
            / eth1 SSH PORT 22  172.26.0.1/29 <------>    172.26.0.2/29 | ADSL 1| 80.81.82.1                
           /                                                             ---------  
--------- /                                                             _________
| RB    | --  eth2 SSH PORT 22  172.26.1.1/29 <------>    172.26.1.2/29 | ADSL 2| 80.81.82.1     
---------                                                               ---------
                                                                        DNAT: Port extern:22 Port Intern:22 IP interna: 172.26.1.1. Configuració tots dos routers

NOTA: Les dades són inventades

Suposem que el router ADSL 1 ja està configurat correctament i que l'obertura de ports ja funciona ja que és el gateway per defecte de la RB.

Ara el que cal fer es marcar tots els paquets que provinguin de la ADSL (és a dit els paquets que entren per la interfície eth2)

/ip firewall mangle
add action=mark-connection chain=input comment="Mark new inbound connection eth2" connection-state=new disabled=no in-interface=eth2 new-connection-mark=eth2 passthrough=yes
add action=mark-connection chain=prerouting comment="Mark established inbound connection eth2" connection-state=established disabled=no in-interface=eth2 new-connection-mark=eth2 passthrough=yes
add action=mark-connection chain=prerouting comment="Mark related inbound connection eth2" connection-state=related disabled=no in-interface=eth2 new-connection-mark=eth2 passthrough=yes

De sortida aquests paquets que tenen la marca eth2, passen a tenir la marca d'encaminament static-eth2 per tal que els puguem passar a un altre taula de rutes:

/ip firewall mangle
add action=mark-routing chain=output comment="Mark new outbound route eth2" connection-mark=eth2 disabled=no new-routing-mark=static-eth2 passthrough=no

El primer la norma:

/ip route rule
add action=lookup disabled=no routing-mark=static-eth2 table=static-eth2

Tots els paquets amb la marca static-vlan20 utilitzaran la taula de rutes static-eth2

Ara només cal definir les rutes a aquesta taula de rutes:

/ip route 
 add check-gateway=arp comment="Static Route - eth2" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.26.1.2 routing-mark=static-eth2 scope=30 target-scope=10
 add disabled=no distance=1 dst-address=172.26.1.0/29 gateway=eth2 pref-src=172.26.1.1 routing-mark=static-eth2 scope=10 target-scope=10

Vegeu també

Enllaços externs