BFW Firewall & Router

[Guilherme Pires]

Pessoal,
Vou explicar como esta a rede aqui na empresa...
MikroTik - Autenticação dos Links e Controle de Entrada e Saida...

Gostaria de colocar um servidor bfw em paralelo com o mikrotik fazendo apenas o controle de conteudo (squid)...
Já tentei fazer o redirecionamento da porta 80 pra 3128 no ip do bfw, mas nao obtive sucesso...
Gostaria primeiro de tudo, saber se alguém já conseguiu trabalhar com os dois em paralelo ?
Se isso é possivel...

[lac]

hola
en el brazilfw tenes que configurar el proxy, poniendo en Yes la opcion Hide Proxy.
Luego desde el mk, solamente dirijis el trafico al brazilfw y este se encarga de redireccionar en forma transparente al squid
espero que sea esto, lo que precisas
saludos

[Guilherme Pires]

hola
en el brazilfw tenes que configurar el proxy, poniendo en Yes la opcion Hide Proxy.
Luego desde el mk, solamente dirijis el trafico al brazilfw y este se encarga de redireccionar en forma transparente al squid
espero que sea esto, lo que precisas
saludos

Qué versión usas? Bfw 3.x ou 2x ?

Você já testou na 3.x ?

[lac]

Hola
Uso la 3.x la ultima
Si, tengo equipos funcionando de esta manera LAN -> MK -> BRAZILFW -> Internet
Desde el mk, envio las peticiones al Brazilfw, sin modificar nada. La redireccion al squid la hace el brazilfw
Saludos

[Guilherme Pires]

Não entendeu lac, quero o MK como gateway mas o bfw fazendo tratamento da navegação (80)

Exemplo

WAN
|
MK =====BFW
|
LAN

[lac]

hola
yo envio todo lo del mk por el brazilfw
para lo que queres hacer, tendrias que enviar solamente el trafico saliente al puerto 80, tal vez tambien el 443 (https) al brazilfw
Lo que utilizo es el qos, control de ip->mac, y alguna otra cosa en el mk. Luego, este redirecciona todo el trafico a traves del brazil fw, para que el squid maneje la parte de navegacion.
Creeria, no estoy seguro, por lo poco que se, que si direccionas todo al brazilfw, tambien obtenes lo que vos queres, dado que el trafico que pasa por el squid, seria el unico que fuese controlado por el brazilfw. Si tuviese que forwardear puertos, lo haces del brazilfw al mk.
saludos

[tecjair]

Acabei de fazer!!
O segredo está em fazer a conexão com o mikrotik pela WAN do BFW e não pela Local.

Código: Selecionar todos

WEBADMIN_PORT='8181'
SSH_PORT='22'
ADMIN_AUTH='TRUNCADO'
DNSSERVER='no' >> Desativa Servidor DNS
HOSTNAME='mycache'
DNS1='172.17.0.1' >>> Esse é o IP da placa de rede do MK ligada exclusivamente ao BFW pela eth1(WAN).
DNS2=''
PERSIST_LOG='yes' >>> Grava Logs do sistema no HD do BFW para consultas posteriores
PARTITION=''
TIME_ZONE='25,-03:00'
CACHE_DISK='yes' >>> Ativa o Squid
USE_QOS='no' >> Desativa QoS
DHCP_SERVER='no' Desativa DHCP
DHCP_DEFAULT_LEASE='7200'
DHCP_DNS1=''
DHCP_DNS2=''
IPUPDATE='no' >> Desativa IPUpdate
IPUPDATE_REFRESH='600'
USE_MAC_CONTROL='no' >> Desativa Contrle de MAC
DISABLE_CONNLIMIT='no'
CERTIFICATE_ISSUED_TO=''
EXTERNAL_PING='yes'
ENABLE_MYSQL='yes' >> Ativa MySQL
REGDOMAIN='US'
ARP_SCAN_RETRY='1'
ARP_SCAN_TIMEOUT='100'
KEYBOARD='br-abnt2'
DNSFREECHOICE='yes'
USE_RESTRICTION_FILE='no'
SHOW_LINK_USAGE='yes'
DMZ=''
BANDWIDTH_RESERVATION='0'


Agora vou testar o conjunto com BFWCache. Té +++
O BFW 3.0 faz tudo! kkkkk

[Mascotmobile]

Pessoal,
Vou explicar como esta a rede aqui na empresa...
MikroTik - Autenticação dos Links e Controle de Entrada e Saida...

Gostaria de colocar um servidor bfw em paralelo com o mikrotik fazendo apenas o controle de conteudo (squid)...
Já tentei fazer o redirecionamento da porta 80 pra 3128 no ip do bfw, mas nao obtive sucesso...
Gostaria primeiro de tudo, saber se alguém já conseguiu trabalhar com os dois em paralelo ?
Se isso é possivel...

Ola amigos estou usando BrazilFW em paralelo com MikroTik como citou o nosso amigo lac, e estou de boca aberta com a eficiência dos dois.

Hola
Uso la 3.x la ultima
Si, tengo equipos funcionando de esta manera LAN -> MK -> BRAZILFW -> Internet
Desde el mk, envio las peticiones al Brazilfw, sin modificar nada. La redireccion al squid la hace el brazilfw
Saludos

E só colocar o brazilFW 3.x como Router, e MikroTik recebendo como statico na eth1, e repassando para os clientes na eth2.

Exemplo:
(BrazilFW 3.X, SQUID, bfwCache)-> IP 192.168.2.1=====> (MikroTik recebendo ip statico 192.168.2.2 na eth1) ->Repassando IP 192.168.3.2/192.168.3.254 na eth2=====> para clientes em modo (PPPOE e Hotspot) com IP 192.168.0.2/192.168.0.254 Autenticado.

Regras de redirecionamento:

Código: Selecionar todos

/ip firewall nat
add action=redirect chain=dstnat comment="Redirecionamento do Proxy" disabled=\
    no dst-port=80 protocol=tcp src-address=192.168.3.0/24 to-ports=8080

Com esse exemplo vocês coloca o (brasilFW 3.x) para trabalhar junto com o (MikroTik) sem nenhum problema.

[tecjair]

Mas ai não é em paralelo! É em série.
Em paralelo é assim:
Configurações de Rede do BrazilFW:
ETH0: 192.168.0.1
ETH1: 172.18.0.2/30
GATEWAY: 172.18.0.1
DNS: 172.18.0.1

Configurações do MK:
ether1(Ligada à Internet):
ether2(Ligada ao BFW): 172.18.0.1/30
ether3(Ligada àRede Local - Clientes): 192.168.200.1/24 - Use uma faixa totalmente diferente de todas as usadas acima.

[Mascotmobile]

Mas ai não é em paralelo! É em série.
Em paralelo é assim:
Configurações de Rede do BrazilFW:
ETH0: 192.168.0.1
ETH1: 172.18.0.2/30
GATEWAY: 172.18.0.1
DNS: 172.18.0.1

Configurações do MK:
ether1(Ligada à Internet):
ether2(Ligada ao BFW): 172.18.0.1/30
ether3(Ligada àRede Local - Clientes): 192.168.200.1/24 - Use uma faixa totalmente diferente de todas as usadas acima.

Ola jair, essa foi a única forma que consegui puxar o proxy do brazilFW respeitando o controle de banda dos meu clientes, que se autentica por meio de conexão PPPOE e Hotspot.


O controle de banda no MikroTik fuciona normal 128k/350k, agora quando solicito um arquivo Cache FULL ex:(Firefox.exe ou Winrar.rar) ai já vem na velocidade FULL determinada nas regras Queue Tree, que no meu caso determinei 5M de velocidade.
O meu Cache Full não da tempo nem de tirar um print de tão rápido que faiz um Download cacheado.


jair mesmo BrazilFW estando antes do MikroTik o SQUID e BFWCACHE estão fusionando normal, e ainda posso adicionar mais um link para loudebalance no BrazilFW 3.X

Obs: os ips que citei acima e da minha configuração que implantei na minha rede, se alquem for utilizar do jeito postei acima não e obrigatorio utilizar a mesma sequencia de IP, e somente um exemplo.

[chicaomagalhaes]

acho que o dono do tópico já sanou a dúvida, mas irei postar como fiz o BFW 3.252+BFWCache rodarem em paralelo ao meu Mk(RB450g)

o proxy do BFW se comunica pela placa conectada a internet, fazendo a mesma ideia do proxy externo que usamos nos navegadores, bom espero ter ajudado.
Proxy em Paralelo com Mk

[EDCOSMOS]

qual é a vantagem de usar esse rb450g junto com o brazilfw em paralelo? esse rb450 é um roteador?

[Mascotmobile]

acho que o dono do tópico já sanou a dúvida, mas irei postar como fiz o BFW 3.252+BFWCache rodarem em paralelo ao meu Mk(RB450g)

o proxy do BFW se comunica pela placa conectada a internet, fazendo a mesma ideia do proxy externo que usamos nos navegadores, bom espero ter ajudado.
Proxy em Paralelo com Mk

E isso mesmo chicao, o meu proxy do BFW esta ligadona placa da internet do MikroTIK.

[ThiagoNG]

qual é a vantagem de usar esse rb450g junto com o brazilfw em paralelo? esse rb450 é um roteador?

EDCOSMOS, o RB450g é um Roteador com o Mikrotik, dai pode se colocar o MK para fazer o LB, o BFW fica em paralelo com o BFWCache ativo.
Em termos, o MK controla os users e o BFW FAz a parte de Cache total
Fica muito show assim

[Guilherme Pires]

Antes de tudo Obrigado pelas respostas...

Mas ai não é em paralelo! É em série.
Em paralelo é assim:
Configurações de Rede do BrazilFW:
ETH0: 192.168.0.1
ETH1: 172.18.0.2/30
GATEWAY: 172.18.0.1
DNS: 172.18.0.1

Configurações do MK:
ether1(Ligada à Internet):
ether2(Ligada ao BFW): 172.18.0.1/30
ether3(Ligada àRede Local - Clientes): 192.168.200.1/24 - Use uma faixa totalmente diferente de todas as usadas acima.

tecjair, criei um cenário igual ao que voce citou aqui como exemplo, mas não deu certo, acho que estou errando na questão do redirecionamento...
Se pudesse me informar a maneira que você está fazendo o redirecionamento, seria de grande ajuda...

Mascotmobile, neste seu caso o bfw autentica os links envia pro mk, e o mk fica como gateway ?

[tecjair]

/ip firewall nat
add action=redirect chain=dstnat connection-type="" disabled=no dst-address=!IP_da_ether1_ou_Interface_de_Internet dst-port=80 protocol=tcp src-address=0.0.0.0/0 to-ports=3128
P.S: Tudo numa linha.
Encerro por aqui porque nosso assunto é BFW!!

[Guilherme Pires]

/ip firewall nat
add action=redirect chain=dstnat connection-type="" disabled=no dst-address=!IP_da_ether1_ou_Interface_de_Internet dst-port=80 protocol=tcp src-address=0.0.0.0/0 to-ports=3128
P.S: Tudo numa linha.
Encerro por aqui porque nosso assunto é BFW!!

Sim claro, mas só abusando mais um pouco amigo, connection-type fica em branco mesmo ? Outra coisa, você está com o Dansguardian no seu ? Ou somente o Squid ?

[Mascotmobile]

Mascotmobile, neste seu caso o bfw autentica os links envia pro mk, e o mk fica como gateway ?

Isso mesmo Guilherme, o brazilfw conectado PPPOE, MK conectado ao brazilfw repassando duas faixa de IP para os clientes.

Encerro por aqui porque nosso assunto é BFW!!

pessoal,
o mk depende de um Debian com cache proxy.
Estamos dando um cache com proxy para ele, ou seja (BrazilFW com SQUID e BfwCache)

[Lord]

interesante...

[Guilherme Pires]

Mascotmobile, neste seu caso o bfw autentica os links envia pro mk, e o mk fica como gateway ?

Isso mesmo Guilherme, o brazilfw conectado PPPOE, MK conectado ao brazilfw repassando duas faixa de IP para os clientes.

Encerro por aqui porque nosso assunto é BFW!!

pessoal,
o mk depende de um Debian com cache proxy.
Estamos dando um cache com proxy para ele, ou seja (BrazilFW com SQUID e BfwCache)

é uma forma também interessante mas não sei se daria certo aqui pra mim, pois meu foco principal é a filtragem de paginas, então seria como se tivesse apenas 1 ip na rede do bfw correto ?! No caso do seu exemplo o ip 192.168.2.2... Vou ver se dá pra me adequar a esse tipo de solução

Obrigado !

[Guilherme Pires]

Edit:
Deu certo !!
Tava viajando não tinha liberado acesso externo no bfw... kkk

Código: Selecionar todos

                       Bfw
                  (eth2)/   
Internet -(eth0) MIKROTIK/RB
                  (eth1)\
                         Clientes

Mikrotik(eth0) -- IP: 200.200.200.2 (exemplo)

Mikrotik(eth1) -- 192.168.200.0/24

Mikrotik(eth2) - IP: 192.168.254.1/30 ------> Rota padrão (gateway): 200.200.200.1 (exemplo)

Bfw --------- IP: 192.168.254.2/30 ------> Rota padrão (gateway): 192.168.254.1

No Mk usei a seguinte regra

Código: Selecionar todos

/ip firewal nat
add action=dst-nat chain=dstnat comment="dst-nat [192.168.254.2 tcp.dst=3128]" \
disabled=no src-address=!192.168.254.2 dst-port=80 protocol=tcp \
to-addresses=192.168.254.2 to-ports=3128

A questão agora é que com essa regra meus relatorios no bfw saem só 1 ip o 192.168.254.1 (gateway da wan do bfw)

[joao isaquias]

Olá amigos gostaria de saber se estas duas formas ai em serie e em paralelo o bfw solta os vídeos a full? Tipo mesmo eu controlando com o mk os vídeos vai cacheado pelo bfwcache vai sair a

[Mascotmobile]

Olá amigos gostaria de saber se estas duas formas ai em serie e em paralelo o bfw solta os vídeos a full? Tipo mesmo eu controlando com o mk os vídeos vai cacheado pelo bfwcache vai sair a

Ola João, aqui pra min não sai full não, esta saindo do (Cache do Brazilfw) na velocidade que determinei no MikroTik.

[tecjair]

Para funcionar o cache a full:
Deixar o QoS do BrazilFW desativado.
Configurar o Cache parente no MK e apontar para o IP do BFW.
Configurar o Cache a Full no MK.

[joao isaquias]

Olá meu amigo Jair sem querer abusar de sua boa vontade, mas já abusando rsrsrsrs você poderia postar estas regras ai para-nos? Sei que e o sonho de muita gente unir os dois principalmente agora que o bfwchache ta a 1000%.

[ThiagoNG]

Brothers, eu fiz esse esquema aqui, liguei o bfw no meu mikrotik e fiz as config de acordo com o que o chicão passou.
Ta show, so não da para ver melhor porque a rede é muito pequenan, 2 pcs - desktops e 2 notebook's.
Agora ficou, MK com hotspot + controle de banda e demais serviços e o BFW3 no "atendimento" de cache...

[Guilherme Pires]

Nos relatorios do bfw só aparece o ip do gateway da wan...
Estou na luta aqui, mas sabem se existe outra maneira de fazer a comunicacao do bfw com o mk para que possa interagir com a rede local ? Para que possa realizar alguns bloqueios personalizados.
(Desculpem se não deixei claro)...

[chicaomagalhaes]

Nos relatorios do bfw só aparece o ip do gateway da wan...
Estou na luta aqui, mas sabem se existe outra maneira de fazer a comunicacao do bfw com o mk para que possa interagir com a rede local ? Para que possa realizar alguns bloqueios personalizados.
(Desculpem se não deixei claro)...

No caso para isso acontecer, vc teria que colocar a placa que liga o Mk ao BFW em bridge... e esquecer a regra do nat
transformando assim o Bfw em gateway.
Ou entao utilizar o servidor de rádius do BFW, interligando ele ao Mk.
desculpem perguntar mas o Serviço de Radius do Bfw está funcional?
pq se sim dará certo.

eu tenho aqui um Server Slackware para Hotspot interligado ao Mk via Radius

[ThiagoNG]

Nos relatorios do bfw só aparece o ip do gateway da wan...
Estou na luta aqui, mas sabem se existe outra maneira de fazer a comunicacao do bfw com o mk para que possa interagir com a rede local ? Para que possa realizar alguns bloqueios personalizados.
(Desculpem se não deixei claro)...

No caso para isso acontecer, vc teria que colocar a placa que liga o Mk ao BFW em bridge... e esquecer a regra do nat
transformando assim o Bfw em gateway.
Ou entao utilizar o servidor de rádius do BFW, interligando ele ao Mk.
desculpem perguntar mas o Serviço de Radius do Bfw está funcional?
pq se sim dará certo.

eu tenho aqui um Server Slackware para Hotspot interligado ao Mk via Radius

Ou fazer o nat de acordo com as regras que o usuario "alfawalker " do forúm abaixo citado fez
http://mk-auth.com.br/forum/topics/relatorios-de-sites-acessados?id=2529151%3ATopic%3A61620&page=1#comments
Ele fez as regras nat e o server pega todos os ips da rede do Mk.