To começando a estudar firewall, achei otimo essa iniciativa, assim q puder, estarei tambem colaborando nesse post.
Versão Imprimível
To começando a estudar firewall, achei otimo essa iniciativa, assim q puder, estarei tambem colaborando nesse post.
Vou colaborar com o melhor firewall:
As 3 ÚLTIMAS regras:
chain=input action=drop
chain=forward action=drop
chain=output action=drop
Ai CATV, sou seu fã e coloco de forma detalhada de baixo para cima que é para vc me corrigir! Faça-o sem dó! rsss!!!! Vc tem razão as regras dinâmicas do hotspot NÃO SÃO PERFEITAS!!!! peguei um erro básico do pessoal da mikrotik aqui!!!
Vc quis dizer que no mikrotik o firewall é dividido em partes mas funciona tudo junto né? como as rodas, o motor, etc... são partes diferentes do carro, mas para este ser carro tem que funfar tudo junto... será que tô tudo errado aqui, aqui entendi que ele é separado da seguinte forma:
alguém postou sobre o firewall...
______________________________________________________________________________________________________________
______________________________________________________________________________________________________________Citação:
Basicamente o obrigatório é a regra de NAT (no manual passo-a-passo). O firewall é uma coisa personalizada e normalmente é confeccionado de acordo com a rede e com os problemas alheios que podem vir a aparecer. Basicamente, aconselho na aba "filter" que você insira os procedimentos para limitar conecções simultânes (manual passo-a-passo) e as regras de controle de P2P no mangle do firewall (manual passo-a-passo). O resto é complemento e pode ser confeccionado de acordo com as necessidades...
PS: Cuidado com regras aparentemente sem nexo. O firewall é uma faca de dois gumes e pode ser uma função maravilhosa, como pode ser também um terror mal configurado.
FIREWALL (ABAS)
FILTER = Nesta aba você cria basicamente regras de entrada, saida e internas. Regras basicas de bloqueio ou liberação são feitas aqui.
NAT = Esta parte do firewall você realiza redirecionamentos em geral.
MANGLE = Nesta parte do firewall que você faz marcações de pacotes e reencaminhamentos. Aqui você marca pacotes, protocolos, portas e quase tudo. Você também pode enviar estes pacotes para várias partes do MK.
SERVICE PORTS = Aqui mostra todas as portas e protocolos padrões habilitados no MK.
CONNECTIONS = Log de conexões, com portas, ips, protocolos, marcações de pacotes e também tempo e estatus da conexão.
ADDRESS LIST = Mostra todos os ips enviados para listas. Para funcionar deve ser configurado em uma das abas (filter, nat ou mangle). Serve para armazenar em listas, relatórios específicos. Exemplo: Pode-se mandar entrar em uma lista específica, pacotes de virus específicos, para posterior análize. Entre outras funções.
Acima: Eu mesmo. Não retirado de nenhum lugar. Retirado, bem resumido do proximo livro (MK).
Ops, acho que é vc quem postou acima...rsss... Inclusive parece que tem até uma determinada ordem de execução de cada parte do firewall, tipo o primeiro a ser executado no firewall é o MANGLE, depois....
...a perfeição para mim é uma coisa eficaz, útil para maioria e que dá certo, antítese tipo: não existe nada mais ineficaz que fazer eficientemente aquilo que não precisava ser feito... rsss... então não existe firewall perfeito para todas as aplicações, existe sim o papo de advogado: - DEPENDE...
as regras dinâmicas do hotspot deveriam ser perfeitas pois são as básicas necessárias, e estritamente necessárias para o funcionamento do hotspot, se analizarmos vemos que elas aparecem no firewall em Filter e em NAT.
EM UMA CONFIGURAÇÃO SIMPLES DO HOTSPOT O MIKROTIK ESTABELECE AS DINÂMICAS:
No NAT a primeira jump os canais dstnat para hotspot, a segunda jump o canal hotspot para pre-hotspot, ai vem redirecionamento de portas de DNS / http... para as portas 64872-64875, depois ele pega o canal hotspot e separa quem fez a autenticação correta e quem não e coloca nos targets hs-auth e hs-unauth em seguida redireciona as portas hs-unauth,
ai tem uma dinâmica:
add chain=hs-unauth protocol=tcp dst-port=3128 action=redirect to-ports=64874 comment="" disabled=no
PEGADINHA! CUIDADO POIS SE USAR O WEB-PROXY EM OUTRA PORTA ELE NÃO MUDA!! MESMO SET NO PROFILE DO SERVER DO HOTSPOT OUTRA PORTA AQUI CONTINUA A 3128... SOLUÇÃO MINHA: criei uma regra nova identica com a porta correta do web-proxy e coloquei no meio das dinâmicas.
e depois jump este último com a porta 25 para hs-smtp, redireciona hs-auth para a porta do hotspot e jump a porta 25 para hs-smtp também.
No Filter o "mikrotik dinâmico" jump os canais foward não autenticados p/ hs-unauth e http p/ hs-unauth-to dai ele jump o input p/ hs-input, como não tem configurações extras no meio ele jump o hs-input p/ pre-hs-input aceita as portas e o hs-input e jump o último sem autenticação do cliente p/ p/ hs-unauth denovo. rejeita o resto com hs-unauth e com o canal hs-unauth-to caso a caso.
...peguei hoje aqui um cliente cadastrado no hotspot com MAC e IP no ip binding que não se autenticou trafegando, ip e mac corretos na rede, porem na ABA hosts do Hotspot o rapaz estava sem o A: Login user e senha e mesmo assim estava trafegando... monitorei e verifiquei uma conexão pptp dele (não usamos pptp aqui porem o serviço está habilitado no firewall SERVICE PORTS), derrubei a conexão pptp dele e ele continuou trafegando em outras portas (1000-3900 não lembro exatamente), derrubei ele no Hosts do Hotspot, e ele voltou trafegando, fui na router e desconectei ele, dei 5 min. e reconectei, e ele voltou trafegando sem autenticação??? peguei os ips source de conexão dele e apareceu o aviso de malware??? que raio de programa vaza o hotspot do mikrotik, como se prevenir?
Alguém já viu isto?
Aproveitando a deixa alguém já monitorou ultimamente ou tem informação de conexões com vírus recentes ou algum novo gerenciador de download novo, aonde posso atualizar informação destes para proteção e uso no firewall do mikrotik?
DESCULPEM AS BRINCADEIRAS! ABS.
Concordo e por isto sou seu fã! São 3 abas distintas para 3 tipos de ações diferentes, porém não consigo analizar o Filter do Raulzito sem ver que pacote ele está marcando no Mangle ou que target ele colocou no Nat, ou que porta ele está redirecionando no Nat para bloquear o acesso externo e permitir o interno no Filter, caso do web-proxy, etc, etc, etc, etc, etc, etc, etc...
Então Raulzito, como eu e o CATV sugerimos, posta tudo aí pois o "Diabo mora nos detalhes" e em roteamento e redes as falhas geralmente estão no óbvio! Incrível mas a perfeição também está no óbvio!
O Rapaz voltou hoje e está denovo trafegando sem fazer o Login, olha aí o caso a caso:
Está com conexões como source and. no TCP portas 3183 - dst 174.36.206.198:8692 / 3361 dst 74.125.91.100:80 / 3363 dst 222.186.13.27:80 / 3390 dst 222.186.13.27:80 e uma conexão provavel DNS da porta 1050 p/ dst porta 53 do servidor mikrotik que está com o servidor DNS habilitado e fazendo cache.
alguém já monitorou isto?
Abraços.