Как маркировать пакеты на одном сервере, чтобы отфильтровать их на другом?

Question

[velodevil]

Доброго времени суток!

Есть открытый всем ветрам прокси-сервер Privoxy, на который с роутеров Mikrotik сыпятся http-запросы. Требуется каким-то образом отмечать пакеты на роутере, чтобы на прокси-сервере принимались только они, а все остальные блокировались.

Роутеров множество и ip-адреса могут быть динамическими и сложно отслеживаемыми (то есть, способ фильтрации по адресам нежелателен).

Answer 1

[Руслан Федосеев]

маркировка пакетов не выходит за пределы роутера, ищите другой вариант.
Я бы предложил поднять туннель и принимать запросы, приходящие только через туннель. Ну а отправить нужные запросы в туннель - это уже можно и на микротике сделать

Comments

[velodevil]

Спасибо за совет, решил пойти этим путем. Поднял VPN, пинги идут, сервера друг друга видят, с микротика из консоли можно послать на прокси запрос, прокси его обработает, все замечательно.
Никак только не соображу, как написать правило, заворачивающее http-трафик из локальной сети на прокси. Оно выглядит сейчас вот так и не работает:

/ip firewall nat add chain=dstnat action=dst-nat in-interface=bridge-local to-addresses=192.168.42.1 to-ports=8118 protocol=tcp dst-port=80

192.168.42.1 - адрес прокси в виртуальной сети.
До создания туннеля это правило успешно пропускало весь трафик с 80-го порта через прокси-сервер.

[Руслан Федосеев]

и не будет работать ;)
теперь надо отмаркировать весь необходимый трафик и через ip rule отправить в туннель. Ну а с той стороны туннеля все, что в него входит - перенаправить на прокси. Прокси в transparent режим.

[velodevil]

Руслан Федосеев: сработало после включения маскарадинга в туннеле /ip firewall nat add chain=srcnat out-interface=*tunnel_interface* action=masquerade

Answer 2

[Владимир]

можно попробовать выставлять и ловить QoS
пример маркера

Comments

[Руслан Федосеев]

можно, но ненадежно - QOS метку можно поставить где угодно

[Владимир]

через глобальные сети оно не передается