MikroTik: múltiplos servidores web com apenas um endereço IP público

As informações desse post são baseadas no software RouterOS versão 6.x e no hardware CCR1016-12G.

MikroTik CCR-1016 12G

O roteador está ligado na DMZ de um PowerBox da GVT (esquema semelhante ao post Configurando o router TL-ER6120 com o PowerBox GVT).

Atenção: esta configuração só funciona com conexões http, ou seja, não funciona para https!

Suponha que você só possua um único endereço IP público, por exemplo: 123.456.789.12, porém deseja utilizar/acessar externamente seus 3 servidores web:

primeiro.com (com endereço interno 192.168.1.2)
segundo.com (com endereço interno 192.168.1.3)
terceiro.com (com endereço interno 192.168.1.4)

Para conseguir atingir este objetivo, deve-se utilizar as seguintes funcionalidades do RouterOS:

  • Web Proxy;
  • DNS estático;
  • Redirecionamento NAT.

Configurando o Web Proxy:

Configurando DNS estáticos para resolver os endereços IP internos:

Configurando o NAT para redirecionar o tráfefo para o Web Proxy:

Observações:

  • O parâmetro in-interface deve ser preenchido com o nome da interface WAN do equipamento.
  • O parâmetro dst-address deve ser preenchido com o endereço IP do roteador (IP configurado no NAT do modem).

Atenção: Não se esquecer de restringir o acesso à URL do seu proxy, caso contrário, seu roteador pode ser usado para redirecionar o tráfego para sites de fora da sua rede:

Assim como no firewall da MikroTik, as regras do Proxy Access são aplicadas em ordem, ou seja, de cima para baixo. No caso da regra implementada acima, primeiro bloqueia-se as portas de telnet e e-mail, depois libera-se o acesso aos hosts (192.168.1.2, 192.168.1.3 e 192.168.1.4) pela sua URL correspondente (primeiro.com, segundo.com e terceiro.com, respectivamente) e, caso os endereços de destino sejam diferentes destes, a conexão é negada.

Caso seja necessário adicionar por exemplo o host 192.168.1.5, deve-se incluir a regra antes da última linha da configuração do Proxy Access, ou seja:

Resumindo, de forma básia, o funcionamento do Web Proxy:

Internet –> 123.456.789.12:80 –> 123.456.789.12:8080 –> 192.168.1.2:80

Deixe uma resposta