Configuración del firewall de RaptorCache
Vamos a usar el siguiente esquema para identificar la red Lan de acuerdo a su segmento de red por su clase (CIDR), entonces sería 192.168.1.0/24 si se usa como Máscara de subred 255.255.255.0
(http://www.alterserv.com/foros/img/raptor/esquema-raptor.jpg)
Entonces solo remplazamos el segmento que viene por defecto por el que estemos usando y también vefificamos el nombre de nuestra interface de red del servidor Raptor, en este caso es eth0(se puede verificar con el comando "ifconfig"), y nos quedaría como la siguiente imagen
(http://i.imgur.com/qxkE2p0.png)
En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.
(http://i.imgur.com/7CbFDcq.png)
Si se quiere editar manualmente pueden hacerlo en el archivo "etc/raptor/fw.sh"
y quedaría de la siguiente manera
#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo "; RaptorCache ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -A INPUT -i lo -j ACCEPT #comment#Localhost
# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
# -----------------------------------------------------------------------------------------
Es recomendable que se use estas reglas aún si se está usando la redirección por NAT.
Si se quiere implementar las reglas de bloqueo QUIC, pueden revisar en el siguiente tema
http://www.alterserv.com/foros/index.php?topic=2097.0
Amigo joemg6
Cual seria la diferencia entra la Redireccion del NAT y Redireccion por mangle ??
amigo JOEMG no me quedo muy claro esto
# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
principalmente lo del eth0
segun tengo entendio eht0 es la la salida de los puertos puede ser eth01, eth02, eth03.....
en mi caso estoy usando la ether 4 de nu mikrokit para raptor las ether 5 para mi LAN
iria de este modo mas o menos corrigeme si me equicovo
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT #comment#Input LAN
iptables -t nat -A PREROUTING -i eth05 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth05 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
o como seria que no entiendo muy vien eso de los eth0s que menciona ¿? ??? ??? ???
Cita de: Valdes en Octubre 21, 2015, 11:05:08 PM
Amigo joemg6
Cual seria la diferencia entra la Redireccion del NAT y Redireccion por mangle ??
La aplicación de una y otra redirección más se acomoda a como uno tiene su infraestructura y su configuración en el Mikrotik, si uno tiene una configuración básica, bastaría con emplear la redirección por NAT.
Cita de: angelsantana en Octubre 21, 2015, 11:11:50 PM
amigo JOEMG no me quedo muy claro esto
# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
principalmente lo del eth0
segun tengo entendio eht0 es la la salida de los puertos puede ser eth01, eth02, eth03.....
en mi caso estoy usando la ether 4 de nu mikrokit para raptor las ether 5 para mi LAN
iria de este modo mas o menos corrigeme si me equicovo
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT #comment#Input LAN
iptables -t nat -A PREROUTING -i eth05 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth05 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
o como seria que no entiendo muy vien eso de los eth0s que menciona ¿? ??? ??? ???
La eth0 es la del servidor Raptor y no de las interfaces del Mikrotik, en algunos casos hay más de una interface de red en los servidores por eso no está de más cerciorarse que corresponda.
Cita de: joemg6 en Octubre 21, 2015, 11:19:13 PM
La eth0 es la del servidor Raptor y no de las interfaces del Mikrotik, en algunos casos hay más de una interface de red en los servidores por eso no está de más cerciorarse que corresponda.
aa yaa veo entonces es la de mi red de raptor entonces lo dejo como esta con eth0 por que, por defecto se pone
auto eth0 bueno es mi caso. saludos amigoo... yy hoy le veo mas activo que el resto de los otros dias mi amigo JOEMG. jajajaj.... :D :D
Ok gracias
la redirecion de 8080 que viene por defecto en firewal ya tendría que esta desabilitado?
Cita de: Valdes en Octubre 21, 2015, 11:24:59 PM
Ok gracias
la redirecion de 8080 que viene por defecto en firewal ya tendría que esta desabilitado?
No es necesario esa redirección solo está como ejemplo.
OK joemg, y si se llegara ir la luz y se apaga el ServerRaptor se tendria que desabilitar la redireccion por mangle como se hacia con la NAT??
Cita de: Valdes en Octubre 21, 2015, 11:37:11 PM
OK joemg, y si se llegara ir la luz y se apaga el ServerRaptor se tendria que desabilitar la redireccion por mangle como se hacia con la NAT??
En el caso que se esté usando la redirección por Mangle, en la regla de route, está para que verifique por medio de un ping al gateway si este se llegase a cortar la regla se deshabilita, pero también como opcional uno puede emplear una regla en el netwatch en el caso del Mangle sería
/tool netwatch
add comment=\
"Redirect Raptor Mangle ======================================================================================>" \
disabled=no down-script=\
"/ip firewall mangle set [find comment=\"Raptor - Mangle ====================>\"] disabled=yes" host=\
192.168.10.2 interval=2s timeout=2s up-script=\
"/ip firewall mangle set [find comment=\"Raptor - Mangle ====================>\"] disabled=no"
Gracias mas claro imposible !!!! :-*
Cita de: Valdes en Octubre 21, 2015, 11:37:11 PM
OK joemg, y si se llegara ir la luz y se apaga el ServerRaptor se tendria que desabilitar la redireccion por mangle como se hacia con la NAT??
tanbien te puedes guiar de aqui esta mas detallado del amigo JOEMG...
http://www.alterserv.com/foros/index.php?topic=6.0;topicseen saludosss
Excelente el foro no me puedo quejar, espero hacer un buen aporte dentro de poco, me estoy armando de un pequeño manual, claro la cuestión es que cada caso puede ser diferente pero en algo ayuda las cosas comunes.
Saludos.
Cita de: joemg6 en Octubre 21, 2015, 11:19:13 PM
La eth0 es la del servidor Raptor y no de las interfaces del Mikrotik, en algunos casos hay más de una interface de red en los servidores por eso no está de más cerciorarse que corresponda.
saludos joemg6 tengo esta duda, como debo modificar el eth0, por la ether con salida a los clientes que mi caso es LAN1 o por la ether donde esta conectado el raptor al mikrotik que la tengo con nombre de PROXY.
buenas noche joemg , mucho gusto de saludarte.
una pregunta si uso a redireccion por nat tengo que modificar el archivo "etc/raptor/fw.sh" o solo es para los que usan mangle, gracias por responderme.
Cita de: Saso en Octubre 29, 2015, 08:37:48 PM
saludos joemg6 tengo esta duda, como debo modificar el eth0, por la ether con salida a los clientes que mi caso es LAN1 o por la ether donde esta conectado el raptor al mikrotik que la tengo con nombre de PROXY.
hola amigos yo tambien me sumo como modifico el eth0 el nombre de mi interfas del mi raptor es ether1raptor ya una ves modifique mediante el panel y no me fue bien
Cita de: alex en Octubre 30, 2015, 08:28:30 AM
hola amigos yo tambien me sumo como modifico el eth0 el nombre de mi interfas del mi raptor es ether1raptor ya una ves modifique mediante el panel y no me fue bien
Cita de: Saso en Octubre 29, 2015, 08:37:48 PM
saludos joemg6 tengo esta duda, como debo modificar el eth0, por la ether con salida a los clientes que mi caso es LAN1 o por la ether donde esta conectado el raptor al mikrotik que la tengo con nombre de PROXY.
Puedes hacerlo desde el WebPanel agregando nuevas reglas copiando las anteriores y solo modificar eth0 por eth1, luego eliminar las anteriores y reiniciar, también puedes hacerlo manualmente modificando el archivo "/etc/raptor/fw.sh" en tu caso sería de la siguiente manera
#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo "; RaptorCache ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -A INPUT -i lo -j ACCEPT #comment#Localhost
# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth1 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
# -----------------------------------------------------------------------------------------
Y cambiar 192.168.1.0/24 por el segmento que estés manejando
Cita de: CarlosB en Octubre 29, 2015, 10:16:53 PM
buenas noche joemg , mucho gusto de saludarte.
una pregunta si uso a redireccion por nat tengo que modificar el archivo "etc/raptor/fw.sh" o solo es para los que usan mangle, gracias por responderme.
Es recomendable que se implemente la configuración del firewall aún asi tengan la redirección por NAT.
amigo joemg6 según lo que comentas acá, así esta estructurada mi regla en firewall en el raptor2 esta correcta.????? tengo 2 rangos de ip una para los clientes wifi y otra para mi cyber. https://www.dropbox.com/s/24j18oa9x7dn0ly/2.png?dl=0
Cita de: jaikel gutierrez en Octubre 30, 2015, 11:22:25 AM
amigo joemg6 según lo que comentas acá, así esta estructurada mi regla en firewall en el raptor2 esta correcta.????? tengo 2 rangos de ip una para los clientes wifi y otra para mi cyber. https://www.dropbox.com/s/24j18oa9x7dn0ly/2.png?dl=0
Sí, están bien tus reglas.
Saludos amigos y en especial al Amigo joemg6 muy buenas noches saludos desde venezuela
Soy nuevo en esto he escuchado de raptorcache y aplaudo la idea de que cobres por tu trabajo, aunque en nuestro pais es muy dificil comprarte las licencias debido a los problemas de divisas etc, etc ese es otro tema, donaciones por paypal si pudiera ser y quisiera donar y aportarte algo por tu trabajo.
solo quiero preguntarte o a los que quieran responder algo, tengo mi red una antena picostation mi mikrotik version 5.9, y quiero implementar este sistema raptor, solo sigo las instrucciones que se colocaron en la pagina central y listo o hay algo mas que se deba realizar, al conectar va a ser automatico el cache, tengo un cpu core 2 duo E 7400 3 Gb de Ram y 500 Gb de disco mis clientes estimados para empezar serian de 30 a 50, el equipo seria el adecuado para correr este sistema gracias espero su pronta ayuda :)
Cita de: joemg6 en Octubre 21, 2015, 10:16:49 PM
Configuración del firewall de RaptorCache
Vamos a usar el siguiente esquema para identificar la red Lan de acuerdo a su segmento de red por su clase (CIDR), entonces sería 192.168.1.0/24 si se usa como Máscara de subred 255.255.255.0
(http://www.alterserv.com/foros/img/raptor/esquema-raptor.jpg)
Entonces solo remplazamos el segmento que viene por defecto por el que estemos usando y también vefificamos el nombre de nuestra interface de red del servidor Raptor, en este caso es eth0(se puede verificar con el comando "ifconfig"), y nos quedaría como la siguiente imagen
(http://i.imgur.com/qxkE2p0.png)
En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.
(http://i.imgur.com/7CbFDcq.png)
Si se quiere editar manualmente pueden hacerlo en el archivo "etc/raptor/fw.sh"
y quedaría de la siguiente manera
#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo "; RaptorCache ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -A INPUT -i lo -j ACCEPT #comment#Localhost
# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
# -----------------------------------------------------------------------------------------
Es recomendable que se use estas reglas aún si se está usando la redirección por NAT.
En: Input LAN ##-##iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
puedo agregarlo asi: Input LAN ##-##iptables -A INPUT -s 10.0.0.2-10.0.254.2 -j ACCEPT (asi englobaria todas las ips de los clientes desde la 0.2 hasta la 254.2)
Debido a que trabajo con ips estatico mediante pppoe de la siguiente manera; acada usuario le asigno la ip directamente al usuario en secrets o deberia agregarlo asi:
Input LAN ##-##iptables -A INPUT -s 10.0.0.2 -j ACCEPT
Input LAN ##-##iptables -A INPUT -s 10.0.1.2 -j ACCEPT
Input LAN ##-##iptables -A INPUT -s 10.0.2.2 -j ACCEPT
Input LAN ##-##iptables -A INPUT -s 10.0.3.2 -j ACCEPT
Hay que destacar que de cada segmente de red solo se usa 1 ip para el cliente.
Cita de: Adrian Aular en Octubre 30, 2015, 08:53:37 PM
En: Input LAN ##-##iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
puedo agregarlo asi: Input LAN ##-##iptables -A INPUT -s 10.0.0.2-10.0.254.2 -j ACCEPT (asi englobaria todas las ips de los clientes desde la 0.2 hasta la 254.2)
Debido a que trabajo con ips estatico mediante pppoe de la siguiente manera; acada usuario le asigno la ip directamente al usuario en secrets o deberia agregarlo asi:
Input LAN ##-##iptables -A INPUT -s 10.0.0.2 -j ACCEPT
Input LAN ##-##iptables -A INPUT -s 10.0.1.2 -j ACCEPT
Input LAN ##-##iptables -A INPUT -s 10.0.2.2 -j ACCEPT
Input LAN ##-##iptables -A INPUT -s 10.0.3.2 -j ACCEPT
Hay que destacar que de cada segmente de red solo se usa 1 ip para el cliente.
Eso lo puedes hacer con subredes (255.255.0.0) y le asignas su CIDR, una imagen de guía
(http://blog.tmzvps.com/wp-content/uploads/2013/01/ipgraph.png)
Saludos.
bueno comentarles que el raptor2 si esta haciendo cache de todo lo que puede, lo raro es que no me cachea las actualizaciones de steam, solo me aparece esto
Icon Dominio Archivos Tamaño Eco Hits Eficacia
steamstatic.com 851 6.9 MiB 641.34 KiB 58 9.07%
lo de steampowered nada
el modo que lo tengo trabajando el server es geteway, a alguien mas le pasa eso?
y lo pudo solucionar
Cita de: joemg6 en Octubre 21, 2015, 10:16:49 PM
Configuración del firewall de RaptorCache
Vamos a usar el siguiente esquema para identificar la red Lan de acuerdo a su segmento de red por su clase (CIDR), entonces sería 192.168.1.0/24 si se usa como Máscara de subred 255.255.255.0
(http://www.alterserv.com/foros/img/raptor/esquema-raptor.jpg)
Entonces solo remplazamos el segmento que viene por defecto por el que estemos usando y también vefificamos el nombre de nuestra interface de red del servidor Raptor, en este caso es eth0(se puede verificar con el comando "ifconfig"), y nos quedaría como la siguiente imagen
(http://i.imgur.com/qxkE2p0.png)
En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.
(http://i.imgur.com/7CbFDcq.png)
Si se quiere editar manualmente pueden hacerlo en el archivo "etc/raptor/fw.sh"
y quedaría de la siguiente manera
#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo "; RaptorCache ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -A INPUT -i lo -j ACCEPT #comment#Localhost
# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
# -----------------------------------------------------------------------------------------
Es recomendable que se use estas reglas aún si se está usando la redirección por NAT.
joemg6... Saludos, tengo 3 preguntas reciente actualice el binario y he implemente subredes en mi red, leyendo este post verifique mi archivo etc/raptor/fw.sh, lo fui a editar y no tenia nada :s, es normal después de haberlo actualizado? la otra es, si declaro en el firewall la red 10.0.0.0/24 y las subredes están dentro de esa id de red, es necesario declarar 1 a 1 las subredes por ejemplo 10.0.0.68/30, 10.0.0.72/30, o solo con tener el 10.0.0.0/24 estaría bien? y la ultima ¿hay alguna manera de limitar en numero de conexiones por ip? tengo clientes que tienen hasta 300 conexiones en Nº de Conex. por Ip, active unas reglas de firewall x mikrotik y no se si le causaran problemas al raptor, Olive decir que mi redireccionamiento es por mangle...
Estas son las reglas que conseguí:
/ip firewall filter
add action=drop comment="Limitar Numero de conexiones TCP para cada cliente (32)" chain=forward connection-limit=80,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop comment="Limitar Numero de conexiones UDP para cada cliente (32)" chain=forward connection-state=new disabled=no dst-port=!53,67 limit=30,150 protocol=udp
add action=drop comment="Limitar Numero de conexiones P2P para cada cliente (32)" chain=forward connection-limit=10,32 connection-state=new disabled=no p2p=all-p2p protocol=tcp
Cita de: zatarra en Noviembre 02, 2015, 05:50:51 PM
joemg6... Saludos, tengo 3 preguntas reciente actualice el binario y he implemente subredes en mi red, leyendo este post verifique mi archivo etc/raptor/fw.sh, lo fui a editar y no tenia nada :s, es normal después de haberlo actualizado? la otra es, si declaro en el firewall la red 10.0.0.0/24 y las subredes están dentro de esa id de red, es necesario declarar 1 a 1 las subredes por ejemplo 10.0.0.68/30, 10.0.0.72/30, o solo con tener el 10.0.0.0/24 estaría bien? y la ultima ¿hay alguna manera de limitar en numero de conexiones por ip? tengo clientes que tienen hasta 300 conexiones en Nº de Conex. por Ip, active unas reglas de firewall x mikrotik y no se si le causaran problemas al raptor, Olive decir que mi redireccionamiento es por mangle...
Estas son las reglas que conseguí:
/ip firewall filter
add action=drop comment="Limitar Numero de conexiones TCP para cada cliente (32)" chain=forward connection-limit=80,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop comment="Limitar Numero de conexiones UDP para cada cliente (32)" chain=forward connection-state=new disabled=no dst-port=!53,67 limit=30,150 protocol=udp
add action=drop comment="Limitar Numero de conexiones P2P para cada cliente (32)" chain=forward connection-limit=10,32 connection-state=new disabled=no p2p=all-p2p protocol=tcp
Las actualizaciones no modifican archivos de configuración, debes de restaurar el archivo "/etc/raptor/fw.sh" y darle permisos de ejecución, sobre las subredes al declarar 10.0.0.0/24 ya estaría abarcando a todo ese segmento, y sobre limitar el número de conexiones si puedes usar la reglas que pusistes.
Cita de: joemg6 en Noviembre 03, 2015, 09:42:40 AM
Las actualizaciones no modifican archivos de configuración, debes de restaurar el archivo "/etc/raptor/fw.sh" y darle permisos de ejecución, sobre las subredes al declarar 10.0.0.0/24 ya estaría abarcando a todo ese segmento, y sobre limitar el número de conexiones si puedes usar la reglas que pusistes.
Muchas Gracias joemg6 ^^, ahora que veo lo había puesto mal (nano etc/raptor/fw.sh) me falto el primer /...
En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.
(http://i.imgur.com/7CbFDcq.png)
Buenos días, asi tengo el firewall, quedaría asi las reglas de direccionamiento en el mangle?
/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
"Raptor - Mangle Lan 1====================>" disabled=no dst-port=80 \
in-interface="Lan 1" new-routing-mark=raptor_route passthrough=no \
protocol=tcp
add action=mark-routing chain=prerouting comment=\
"Raptor - Mangle Lan 2====================>" disabled=no dst-port=80 \
in-interface="Lan 2" new-routing-mark=raptor_route passthrough=no \
protocol=tcp
add action=mark-connection chain=forward comment=\
"== RAPTORCACHE LAN 1 Y LAN 2 ==" content=\
"X-Cache-Raptor: HIT from Raptor" disabled=no new-connection-mark=\
raptor-connection passthrough=yes
add action=mark-packet chain=forward connection-mark=raptor-connection \
disabled=no new-packet-mark=raptor-packs passthrough=no
Cita de: ehcoma en Noviembre 04, 2015, 08:09:09 AM
En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.
(http://i.imgur.com/7CbFDcq.png)
Buenos días, asi tengo el firewall, quedaría asi las reglas de direccionamiento en el mangle?
/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
"Raptor - Mangle Lan 1====================>" disabled=no dst-port=80 \
in-interface="Lan 1" new-routing-mark=raptor_route passthrough=no \
protocol=tcp
add action=mark-routing chain=prerouting comment=\
"Raptor - Mangle Lan 2====================>" disabled=no dst-port=80 \
in-interface="Lan 2" new-routing-mark=raptor_route passthrough=no \
protocol=tcp
add action=mark-connection chain=forward comment=\
"== RAPTORCACHE LAN 1 Y LAN 2 ==" content=\
"X-Cache-Raptor: HIT from Raptor" disabled=no new-connection-mark=\
raptor-connection passthrough=yes
add action=mark-packet chain=forward connection-mark=raptor-connection \
disabled=no new-packet-mark=raptor-packs passthrough=no
Así es, por cada interface agregas una regla más.
Cita de: joemg6 en Octubre 21, 2015, 11:44:10 PM
En el caso que se esté usando la redirección por Mangle, en la regla de route, está para que verifique por medio de un ping al gateway si este se llegase a cortar la regla se deshabilita, pero también como opcional uno puede emplear una regla en el netwatch en el caso del Mangle sería
/tool netwatch
add comment=\
"Redirect Raptor Mangle ======================================================================================>" \
disabled=no down-script=\
"/ip firewall mangle set [find comment=\"Raptor - Mangle ====================>\"] disabled=yes" host=\
192.168.10.2 interval=2s timeout=2s up-script=\
"/ip firewall mangle set [find comment=\"Raptor - Mangle ====================>\"] disabled=no"
Saludos; disculpa y como se haría si utillizo la redireccion por NAT?
Cita de: Adrian Aular en Noviembre 04, 2015, 08:03:34 PM
Saludos; disculpa y como se haría si utillizo la redireccion por NAT?
Puedes revisar en su tema correspondiente
http://www.alterserv.com/foros/index.php?topic=6.msg6#msg6
Amigos...Necesito su ayuda....he realizado todos los pasos que aquí se mencionan....pero me perdí en algún paso....tengo un Mikrotik Pc que yo mismo hice, con 4 Interfaces, WAN, LAN CYBER(192.168.20.1),LAN WIFI (192.168.10.1) y acá mi duda.... RAPTOR seria 192.168.30.1????..o, debo de conectar el Raptor al Swicth de mi red.? agradecería mucho si pudieran ayudarme. el Raptor que hice esta funcionando, lo veo por red y le puse la IP 192.168.20.10....pero cuando lo conecto al mikrotik no se que hacer porque nose que poner en la interfaz osea que rango de red....gracias amigos
Cita de: schepo en Noviembre 12, 2015, 11:32:23 AM
Amigos...Necesito su ayuda....he realizado todos los pasos que aquí se mencionan....pero me perdí en algún paso....tengo un Mikrotik Pc que yo mismo hice, con 4 Interfaces, WAN, LAN CYBER(192.168.20.1),LAN WIFI (192.168.10.1) y acá mi duda.... RAPTOR seria 192.168.30.1????..o, debo de conectar el Raptor al Swicth de mi red.? agradecería mucho si pudieran ayudarme. el Raptor que hice esta funcionando, lo veo por red y le puse la IP 192.168.20.10....pero cuando lo conecto al mikrotik no se que hacer porque nose que poner en la interfaz osea que rango de red....gracias amigos
Si Raptor no cuenta con su interface de conexión independiente al Mikrotik, entonces estaría conectado al Switch y en ese segmento de Red, lo más conveniente es que tenga su propia interface de red en el Mikrotik.
sorry pero la respuesta fue muy simple y yo soy un poco tonto....la interfaz independiente de mikrotik tiene ke ser distinta a la de mis redes?... si es asi, como le cambio el nº de IP al Raptor? porque por lo que veo aca debe estar en el mismo segmento de IP el Raptor con la interfaz de Mikrotik o me equivoco?
Si alguien me pudiera ayudar...no queria molestar, pero ya no se que mas hacer...y nesecito el raptor me seria de mucha utilidad....
Cita de: schepo en Noviembre 12, 2015, 02:42:04 PM
sorry pero la respuesta fue muy simple y yo soy un poco tonto....la interfaz independiente de mikrotik tiene ke ser distinta a la de mis redes?... si es asi, como le cambio el nº de IP al Raptor? porque por lo que veo aca debe estar en el mismo segmento de IP el Raptor con la interfaz de Mikrotik o me equivoco?
Al mencionar que tiene que tener su interface independiente, hago referencia a que tiene que tener su propio puerto ethernet conectado del servidor hacia el Mikrotik y tendría su propio segmento de red, con la regla de redirección ya se conectaría a los demás segmentos para que hagan caché. Si quieres cambiar el IP del servidor los puedes hacer desde el WebPanel en la opción "Ajustes->Network", también se puede editar manualmente en el archivo del servidor "/etc/network/interfaces".
hola como estas
necesito ayuda ya instale raptorcache esta genero ip 192.168.88.2:82
ha hora configuración con mikrotik 450 g
tengo IP para mk 192.168.88.1 como ayudar para configurar ya hechos todas las que están en Internet como la de esta pagina no tengo resultado espero su respuesta
ayuda estoy nuevo en esto esta bien mi firewall a si o tiene algo de mas ?? hay dos reglas que dicen Block QUIC cual tengo q eliminar o no importa q esten las dos ??
Cita de: TCAICE en Enero 18, 2016, 07:53:25 AM
ayuda estoy nuevo en esto esta bien mi firewall a si o tiene algo de mas ?? hay dos reglas que dicen Block QUIC cual tengo q eliminar o no importa q esten las dos ??
Si se quiere implementar las reglas de bloqueo QUIC, pueden revisar en el siguiente tema
http://www.alterserv.com/foros/index.php?topic=2097.0
Cita de: TCAICE en Enero 18, 2016, 07:53:25 AM
ayuda estoy nuevo en esto esta bien mi firewall a si o tiene algo de mas ?? hay dos reglas que dicen Block QUIC cual tengo q eliminar o no importa q esten las dos ??
Esta bien el orden de ese firewall ???
Ya que me parece que el Redirect 3128 , va primero que Block QUIC
Cita de: joemg6 en Noviembre 12, 2015, 04:27:35 PM
Hola Joem , que significa ese nuevo segmento de Block Quic para el puerto 443 ???
Gracias
Cita de: lantiano en Mayo 07, 2016, 12:58:18 AM
Hola Joem , que significa ese nuevo segmento de Block Quic para el puerto 443 ???
Gracias
Amigo Quic es un nuevo protocolo el cual esta desarrollando Google, para acelerar el internet, en este caso este protocolo impide el buen funcionamiento del cache y como se determina que sera cacheado y que no, buscalo hay un monton de info, sobre esto, Saludos