BFW Firewall & Router

[chicaomagalhaes]

Bom, já postei mas vou postar novamente... é uma receita de bolo!
não vou explicar as regras, somente copiem e colem, e pronto... dará tudo certo!

OBS.: Os Acessos externos as Portas 22, 8181, 3129(edite o acesso externo do Squid de 3128 para 3129) tem que estar ativas.

EDIT
1º Criamos uma Range de Ip no Mk para colocarmos no BFW.
IP -> ADDRESSES -> + -> 192.168.10.1/30 e selecione a Interface que você destinou ao BFW

- Após isso coloque o ip 192.168.10.2 no BFW.
- Feito isso tente acessar o BFW por https://192.168.10.2:8181, se conseguir falta pouco.
- Após os passos acima é só colar as regras no Mk

Aceitando as Conexões do BFW

Código: Selecionar todos

/ip firewall filter
add action=accept chain=forward comment="Aceita BFW" disabled=no \
    src-address=192.168.10.0/30

Redirecionando o tráfego para o Cache
Obs.:Tem que mudar a porta do acesso externo do Squid-BFW de 3128 para 3129

Código: Selecionar todos

/ip firewall nat
add action=dst-nat chain=dstnat comment="Redirect BFW Cache" disabled=yes \
    dst-port=80 protocol=tcp src-address=10.0.0.0/8 to-addresses=\
    192.168.10.2 to-ports=3129

Fazendo a marcação dos Pacotes

Código: Selecionar todos

/ip firewall mangle
add action=mark-connection chain=postrouting comment="BFW CACHE FULL =====\
    ==========================================================================\
    =======================" content="X-Cache: HIT from BFW Cache" disabled=no \
    new-connection-mark=bfw-connection passthrough=yes protocol=tcp \
    src-address=192.168.10.2
add action=mark-packet chain=postrouting comment="" connection-mark=\
    bfwcache-connection disabled=no new-packet-mark=bfwcache-packs passthrough=\
    yes
add action=mark-connection chain=postrouting comment="TOS 12==================\
    ==========================================================================\
    =========================" disabled=no dscp=12 new-connection-mark=\
    proxy-hits passthrough=yes protocol=tcp src-address=192.168.10.2
add action=mark-packet chain=postrouting comment="" connection-mark=\
    proxy-hits disabled=no new-packet-mark=proxy-squid passthrough=yes



Definindo a velocidade do Cache Full

Código: Selecionar todos

/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
    max-limit=2M name="T -cache_hits" packet-mark=proxy-squid parent=\
    global-out priority=4 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
    max-limit=2M name=BFW Cache packet-mark=bfwcache-packs parent=\
    global-out priority=4 queue=default


Domínios que nao passarão pelo Cache

Código: Selecionar todos

/ip firewall address-list
add address=69.147.95.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=209.191.106.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=74.6.228.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=98.136.131.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=200.143.37.0/24 comment="\"\"\"\"WEBMOTORS\"\"\"\"" disabled=no \
    list=nobalance
add address=65.54.0.0/16 comment=MSN1 disabled=no list=nobalance
add address=207.46.0.0/16 comment=MSN2 disabled=no list=nobalance
add address=64.4.0.0/16 comment=MSN3 disabled=no list=nobalance
add address=200.143.0.0/16 comment=Pagdigital disabled=no list=nobalance
add address=201.88.0.0/16 comment=f2b disabled=no list=nobalance
add address=200.201.0.0/16 comment="caixa economica" disabled=no list=\
    nobalance
add address=170.66.0.0/16 comment="bb do brasil" disabled=no list=nobalance
add address=200.155.0.0/16 comment=bradesco disabled=no list=nobalance
add address=200.196.0.0/16 comment=itau disabled=no list=nobalance
add address=200.208.0.0/16 comment=sudameris disabled=no list=nobalance
add address=200.220.0.0/16 comment=santander disabled=no list=nobalance
add address=201.63.0.0/16 comment="wwws bradesco" disabled=no list=nobalance
add address=65.55.0.0/16 comment=MSN4 disabled=no list=nobalance
add address=74.52.0.0/16 comment="caixa economica" disabled=no list=nobalance
add address=174.133.0.0/16 comment="caixa economica" disabled=no list=\
    nobalance
add address=200.219.137.0/24 comment="" disabled=no list=nobalance
add address=200.252.8.0/24 comment="" disabled=no list=nobalance
add address=201.2.207.0/24 comment="" disabled=no list=nobalance
add address=200.196.226.0/24 comment="" disabled=no list=nobalance
add address=201.24.72.0/24 comment="" disabled=no list=nobalance
add address=78.46.46.139 comment="" disabled=no list=nobalance


Regra para habilitar os domínios que passaram por fora

Código: Selecionar todos

ip firewall nat
add action=accept chain=dstnat comment=\
    "\"\"\"\"\"\"Sites FORA DO PROXY\"\"\"\"\"\"" disabled=no \
    dst-address-list=nobalance dst-port=80 protocol=tcp


e pronto, aconcelho a colocar um cabo direto, PC-PC para a comunicaçao.
bom e é só, qualquer dúvida é só deixar no post!

[andreluiz]

Como que você trata a porta segura neste caso? (Https/443)

Você está redirecionando todo tráfego para o BFW da porta 80.

[Lord]

la conexion del mkt al brazil es por la parte wan o la lan????

[digojpa]

olá amigo as regras são para o mikrotik em paralelo ou em cascata ?

[fabio23]

ola amigo!
uso da seguinte maneira

BFW +
BFW Cache+
Squid


RB 750 Com Hotspot.

uso desta maneira e não sei se está vindo arquivo do cache.
minha pergunta é. posso usar essa sua configuração no meu RB 750?

[chicaomagalhaes]

ola amigo!
uso da seguinte maneira

BFW +
BFW Cache+
Squid


RB 750 Com Hotspot.

uso desta maneira e não sei se está vindo arquivo do cache.
minha pergunta é. posso usar essa sua configuração no meu RB 750?

Sim, você vai usar somente a placa Wan do BFW, você vai escolher uma porta na RB exclusiva para essa conexão.

[chicaomagalhaes]

Como que você trata a porta segura neste caso? (Https/443)

Você está redirecionando todo tráfego para o BFW da porta 80.

se quiser é só criar outra regra de redirecionamento para ela, mas eu aconselho a deixar os sites Https de fora do cache.

[Mascotmobile]

Ola chicaomagalhaes, o brazilFW vai trabalhar com duas placas de rede, ou só com uma?
No meu caso estou trabalhando com dois tipos de autenticação (PPOE e HOTSPOT), sendo que tenho duas regras de IP.

• Para PPOE:
  De 192.168.3.2 a 192.168.3.254
  
• Para HOTSPOT:
  De 192.168.0.2 a 192.168.0.254

Tenho que colocar o ip do meu brazilfw seguindo uma dessas faixa de IP?
Ou no formato que citou acima?

IP -> ADDRESSES -> + -> 192.168.10.1/30 e selecione a Interface que você destinou ao BFW

- Após isso coloque o ip 192.168.10.2 no BFW.
- Feito isso tente acessar o BFW por https://192.168.10.2:8181, se conseguir falta pouco.
- Após os passos acima é só colar as regras no Mk

Chequei a colocar o BFW 3.x antes do Mk mais só estava cacheado os clientes do HOTSPOT.

[chicaomagalhaes]

Ola chicaomagalhaes, o brazilFW vai trabalhar com duas placas de rede, ou só com uma?
No meu caso estou trabalhando com dois tipos de autenticação (PPOE e HOTSPOT), sendo que tenho duas regras de IP.

• Para PPOE:
  De 192.168.3.2 a 192.168.3.254
  
• Para HOTSPOT:
  De 192.168.0.2 a 192.168.0.254

Tenho que colocar o ip do meu brazilfw seguindo uma dessas faixa de IP?
Ou no formato que citou acima?

IP -> ADDRESSES -> + -> 192.168.10.1/30 e selecione a Interface que você destinou ao BFW

- Após isso coloque o ip 192.168.10.2 no BFW.
- Feito isso tente acessar o BFW por https://192.168.10.2:8181, se conseguir falta pouco.
- Após os passos acima é só colar as regras no Mk

Chequei a colocar o BFW 3.x antes do Mk mais só estava cacheado os clientes do HOTSPOT.

O BFW vai utilizar somente a placa da internet, ligada direta a uma placa exclusiva no Mk. na regra de redirecionamento no NAT você vai em |extra-hotspot-auth|.

[kidaum]

Com a modificação da porta 3129 na versão 3.0.258 aqui não funciona nem na com a porta do squid 3128.
mas nas versões do Brazilfw 3.0.257 e anteriores funciona numa boa com o squid na porta 3128.

[Alvarenga]

O registro de usuário também será filtrado pelo bfw? Como todas requisições estão passando por ele, o registro de acesso de páginas por ip também pode ser feito, montando assim um log de registro? Eu usava o bfw para fazer o log dos acessos, mas não obtive exito em juntar os dois mk+bfw. Essas dicas (receita) também serve para esta finalidade?

[chicaomagalhaes]

Com a modificação da porta 3129 na versão 3.0.258 aqui não funciona nem na com a porta do squid 3128.
mas nas versões do Brazilfw 3.0.257 e anteriores funciona numa boa com o squid na porta 3128.

Estranho, porque eu usei a versao .258 e rodou numa boa.... Loucura.
mas espero que o post venha a ajudar muita gente!

[jose.campos]

aqui parece que deu certo, mas quando ativo o hotspot para de funcionar

[TooR]

aqui parece que deu certo, mas quando ativo o hotspot para de funcionar

En "ip >> hotspot >> user profile", editas los profile y desactiva la opción de "Transparent proxy", con eso ya puedes seguir trabajando asi tengas hotspot activo

chicaomagalhaes, has probado haciendo balanceo (LB)?

[lucianog1212]

Excelente informacion, gracias por compartirla.
Lo he dejado funcionando pero tengo una consulta sobre hotspot:

Tengo unos perfiles de pruebas con limites de velocidad configurados. Como puedo hacer para que la informacion del cache sea entregada a la velocidad configurada en el QueueTree?

Gracias

[marcelo.foz]

Bom, já postei mas vou postar novamente... é uma receita de bolo!
não vou explicar as regras, somente copiem e colem, e pronto... dará tudo certo!

OBS.: Os Acessos externos as Portas 22, 8181, 3129(edite o acesso externo do Squid de 3128 para 3129) tem que estar ativas.

EDIT
1º Criamos uma Range de Ip no Mk para colocarmos no BFW.
IP -> ADDRESSES -> + -> 192.168.10.1/30 e selecione a Interface que você destinou ao BFW

- Após isso coloque o ip 192.168.10.2 no BFW.
- Feito isso tente acessar o BFW por https://192.168.10.2:8181, se conseguir falta pouco.
- Após os passos acima é só colar as regras no Mk

Aceitando as Conexões do BFW

Código: Selecionar todos

/ip firewall filter
add action=accept chain=forward comment="Aceita BFW" disabled=no \
    src-address=192.168.10.0/30

Redirecionando o tráfego para o Cache
Obs.:Tem que mudar a porta do acesso externo do Squid-BFW de 3128 para 3129

Código: Selecionar todos

/ip firewall nat
add action=dst-nat chain=dstnat comment="Redirect BFW Cache" disabled=yes \
    dst-port=80 protocol=tcp src-address=10.0.0.0/8 to-addresses=\
    192.168.10.2 to-ports=3129

Fazendo a marcação dos Pacotes

Código: Selecionar todos

/ip firewall mangle
add action=mark-connection chain=postrouting comment="BFW CACHE FULL =====\
    ==========================================================================\
    =======================" content="X-Cache: HIT from BFW Cache" disabled=no \
    new-connection-mark=bfw-connection passthrough=yes protocol=tcp \
    src-address=192.168.10.2
add action=mark-packet chain=postrouting comment="" connection-mark=\
    bfwcache-connection disabled=no new-packet-mark=bfwcache-packs passthrough=\
    yes
add action=mark-connection chain=postrouting comment="TOS 12==================\
    ==========================================================================\
    =========================" disabled=no dscp=12 new-connection-mark=\
    proxy-hits passthrough=yes protocol=tcp src-address=192.168.10.2
add action=mark-packet chain=postrouting comment="" connection-mark=\
    proxy-hits disabled=no new-packet-mark=proxy-squid passthrough=yes



Definindo a velocidade do Cache Full

Código: Selecionar todos

/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
    max-limit=2M name="T -cache_hits" packet-mark=proxy-squid parent=\
    global-out priority=4 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
    max-limit=2M name=BFW Cache packet-mark=bfwcache-packs parent=\
    global-out priority=4 queue=default


Domínios que nao passarão pelo Cache

Código: Selecionar todos

/ip firewall address-list
add address=69.147.95.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=209.191.106.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=74.6.228.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=98.136.131.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=200.143.37.0/24 comment="\"\"\"\"WEBMOTORS\"\"\"\"" disabled=no \
    list=nobalance
add address=65.54.0.0/16 comment=MSN1 disabled=no list=nobalance
add address=207.46.0.0/16 comment=MSN2 disabled=no list=nobalance
add address=64.4.0.0/16 comment=MSN3 disabled=no list=nobalance
add address=200.143.0.0/16 comment=Pagdigital disabled=no list=nobalance
add address=201.88.0.0/16 comment=f2b disabled=no list=nobalance
add address=200.201.0.0/16 comment="caixa economica" disabled=no list=\
    nobalance
add address=170.66.0.0/16 comment="bb do brasil" disabled=no list=nobalance
add address=200.155.0.0/16 comment=bradesco disabled=no list=nobalance
add address=200.196.0.0/16 comment=itau disabled=no list=nobalance
add address=200.208.0.0/16 comment=sudameris disabled=no list=nobalance
add address=200.220.0.0/16 comment=santander disabled=no list=nobalance
add address=201.63.0.0/16 comment="wwws bradesco" disabled=no list=nobalance
add address=65.55.0.0/16 comment=MSN4 disabled=no list=nobalance
add address=74.52.0.0/16 comment="caixa economica" disabled=no list=nobalance
add address=174.133.0.0/16 comment="caixa economica" disabled=no list=\
    nobalance
add address=200.219.137.0/24 comment="" disabled=no list=nobalance
add address=200.252.8.0/24 comment="" disabled=no list=nobalance
add address=201.2.207.0/24 comment="" disabled=no list=nobalance
add address=200.196.226.0/24 comment="" disabled=no list=nobalance
add address=201.24.72.0/24 comment="" disabled=no list=nobalance
add address=78.46.46.139 comment="" disabled=no list=nobalance


Regra para habilitar os domínios que passaram por fora

Código: Selecionar todos

ip firewall nat
add action=accept chain=dstnat comment=\
    "\"\"\"\"\"\"Sites FORA DO PROXY\"\"\"\"\"\"" disabled=no \
    dst-address-list=nobalance dst-port=80 protocol=tcp


e pronto, aconcelho a colocar um cabo direto, PC-PC para a comunicaçao.
bom e é só, qualquer dúvida é só deixar no post!

aqui funcionou se eu 1 colocar o bfw para discar no modem 2 mikrotik recebe o ip dele assim com estas regras funciona perfeitamente
caso contrario nada feito e olha que fiquei tentando muito