Bloqueio de Portas Mikrotik, para clientes residenciais.
Ola pessoal, to precisando de uma forcinha:
Sei que no firewall do mikrotik, a chain input (tudo com sentido ao RouterOS), output ( do RouterOS para fora) e forward (tudo que passa por ele). Porém quero fazer bloqueio de portas nos meus concentradores PPPOE, bloqueando tudo que vem de fora em cima de portas específicas com destino aos meus clientes. Como a net virtua faz, a velox e etc.. Eles bloqueam portas como 80, 21, em fim, queria fazer o mesmo na minha rede, alguem saberia como deveria estar o meu filtro?
Tentei o seguinte, porém, isso funciona só para o RouterOS e não para os meus clientes:
;;; DROPAR POTAS TCP 0-1024
chain=input action=drop protocol=tcp dst-port=0-1024
Re: Bloqueio de Portas Mikrotik, para clientes residenciais.
Citação:
Postado originalmente por
thiagokjf
Ola pessoal, to precisando de uma forcinha:
Sei que no firewall do mikrotik, a chain input (tudo com sentido ao RouterOS), output ( do RouterOS para fora) e forward (tudo que passa por ele). Porém quero fazer bloqueio de portas nos meus concentradores PPPOE, bloqueando tudo que vem de fora em cima de portas específicas com destino aos meus clientes. Como a net virtua faz, a velox e etc.. Eles bloqueam portas como 80, 21, em fim, queria fazer o mesmo na minha rede, alguem saberia como deveria estar o meu filtro?
Tentei o seguinte, porém, isso funciona só para o RouterOS e não para os meus clientes:
;;; DROPAR POTAS TCP 0-1024
chain=input action=drop protocol=tcp dst-port=0-1024
faltou o dst-address....
Coloca ai a faixa de IP dos seus clientes.
Re: Bloqueio de Portas Mikrotik, para clientes residenciais.
A recomendação SEMPRE, se o objetivo for proteger os 'clientes', ou seja o tráfego 'passante', é fazer o bloqueio das portas menores que a 1024 na FORWARD. A INPUT só diz respeito ao processamento local, ou seja, pacotes destinados aos IPS locais do próprio roteador, e não como o amigo falou acima. FORWARD diz respeito a tráfego que atravessa o roteador.
Lembrando que se você tem NAT tem que deixar ativado (permitir) sempre conexões com o estado 'established' e 'related'. Segue leitura sobre o assunto.
https://pt.m.wikipedia.org/wiki/Stateful_firewall