Как завернуть весь трафик определенных пользователей c микротик на внешний прокси?

Question

[Никита Решетняк]

Доброго времени суток. В сети имеется прокси настрое и работает. Люди в инет ходя через тик. Так вот подскажите люди добрые как завернуть определенные Ip с тика в тот самый прокси. Пробовал пару мануалов из инета под DST-NAT и маркировку... Не помогло правила почему то игнорируются (счетчик пакетов не двигается)

Comments

[Дмитрий Шицков]

Ну что, стоит только помочувствовать вам.

Если серьежно, то конфиг то где вашего ната и фаера. И пожалуйста, не скрином!

[Никита Решетняк]

# jun/15/2019 10:03:03 by RouterOS 6.43.4
# software id = 6H9N-YRLH
#
# model = RouterBOARD 3011UiAS
# serial number = 8EED090E4157
/ip firewall address-list
add address=172.17.192.68 list=Doctors
add address=172.17.192.64 list=Doctors
add address=172.17.192.82 list=Doctors
add address=172.17.192.103 list=Doctors
add address=172.17.192.102 list=Doctors
add address=172.17.192.75 list=Doctors
add address=172.17.192.104 list=Doctors
add address=172.17.192.83 list=Doctors
add address=172.17.192.90 list=Doctors
add address=72.17.192.78 list=Doctors
add address=72.17.192.67 list=Reseption
add address=72.17.192.71 list=Reseption
add address=72.17.192.73 list=Reseption
add address=72.17.192.74 list=Reseption
add address=172.17.192.0/24 list=local
add address=172.17.191.0/24 list=local
add address=172.17.190.0/24 list=local
add address=172.17.193.0/24 list=local
add address=172.17.194.0/24 list=local
add address=72.17.192.87 list=Doctors
/ip firewall filter
add action=accept chain=input protocol=ipencap
add action=accept chain=input comment=\
"\D0\E0\E7\F0\E5\F8\E0\E5\EC \EF\E8\ED\E3\E8" in-interface=ether1-ISP1 \
protocol=icmp
add action=accept chain=input in-interface=ether2-ISP2 protocol=icmp
add action=accept chain=input comment="est, rel, unt" connection-state=\
established,related,untracked
add action=accept chain=input comment="PPTP \E8 GRE" dst-address=\
111.111.111.111 dst-port=1723 in-interface=ether2-ISP2 protocol=tcp
add action=accept chain=input src-address=ХХХ.ХХХ.ХХХ.ХХХ
add action=accept chain=input protocol=ipip src-address=ХХХ.ХХХ.ХХХ.ХХХ
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \E2\F1\E5 \
\EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\FF \E8\E7 \ED\E0\F8\E5\E9 \F1\E5\F2\E8" \
in-interface=ether3 src-address=172.17.192.0/24
add action=accept chain=input in-interface=ether3 src-address=10.10.10.0/24
add action=accept chain=input in-interface=ether3 src-address=20.20.20.0/24
add action=drop chain=input comment=\
"\CE\F2\F0\F3\E1\E0\E5\EC \E8\ED\E2\E0\EB\E8\E4\ED\FB\E5" \
connection-state=invalid log-prefix=inv-in-drop
add action=drop chain=input comment=other in-interface=ether1-ISP1
add action=drop chain=input in-interface=ether2-ISP2 log-prefix=\
oth_drop_input_isp2
add action=accept chain=forward comment=icmp protocol=icmp
add action=accept chain=forward comment="est, rel, unt" connection-state=\
established,related,untracked
add action=accept chain=forward comment=GRE in-interface=GRE-To-clinic-1 \
out-interface=ether3
add action=accept chain=forward in-interface=GRE-To-clinic-3 out-interface=\
ether3
add action=accept chain=forward in-interface=GRE-To-KCM out-interface=ether3
add action=accept chain=forward in-interface=IPIP-to-COD out-interface=ether3
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \E8\E7 \
\EB\EE\EA\E0\EB\FC\ED\EE\E9 \E2 \E8\ED\E5\F2"
add action=drop chain=forward comment=inv connection-state=invalid
add action=drop chain=forward comment="\D0\F3\E1\E8\EC \EE\F1\F2\E0\F2\EA\E8" \
log-prefix=DropALL
/ip firewall mangle
add action=mark-connection chain=input dst-address=ххх.ххх.ххх.ххх \
in-interface=ether2-ISP2 new-connection-mark=ISP2->input passthrough=no
add action=mark-routing chain=output connection-mark=ISP2->input \
new-routing-mark=ISP2-rt passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether2-ISP2
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip sip-timeout=5m
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes

Answer 1

[Vladimir Zhurkin]

Никита Решетняк Для простоты , используйте adress list, что бы не писать кучу правил в firewall.
Там укажите нужные ip, которые вам надо завернуть



у меня тут banlist виден, но сути этого не меняет. Я одним правилом блокирую ботов из интернета.

Далее вам надо перенаправить все запросы на порт 80 на адрес и порт proxy сервера
это называется прозрачное проксирование

/ip firewall nat add src-address-list=squid_list dst-port=80 action=redirect to-ports=3128 to-addresses=IP_сервера_SQUID

Вроде как все.

P.S. правило , должно быть выше маскарада

Answer 2

[Евген]

Шлюз по умолчанию выдайте им ип этого прокси

Comments

[Никита Решетняк]

У них DHCP выливается другой вопрос как отдельным людям через ДХЦП выдать другой шлюз

[Евген]

Никита Решетняк, ну статикой по мак-адресам