Bloqueio de Portas Mikrotik, para clientes residenciais.

Ola pessoal, to precisando de uma forcinha:

Sei que no firewall do mikrotik, a chain input (tudo com sentido ao RouterOS), output ( do RouterOS para fora) e forward (tudo que passa por ele). Porém quero fazer bloqueio de portas nos meus concentradores PPPOE, bloqueando tudo que vem de fora em cima de portas específicas com destino aos meus clientes. Como a net virtua faz, a velox e etc.. Eles bloqueam portas como 80, 21, em fim, queria fazer o mesmo na minha rede, alguem saberia como deveria estar o meu filtro?

Tentei o seguinte, porém, isso funciona só para o RouterOS e não para os meus clientes:

;;; DROPAR POTAS TCP 0-1024
chain=input action=drop protocol=tcp dst-port=0-1024

Citação:

---

Postado originalmente por thiagokjf

Ola pessoal, to precisando de uma forcinha:

Sei que no firewall do mikrotik, a chain input (tudo com sentido ao RouterOS), output ( do RouterOS para fora) e forward (tudo que passa por ele). Porém quero fazer bloqueio de portas nos meus concentradores PPPOE, bloqueando tudo que vem de fora em cima de portas específicas com destino aos meus clientes. Como a net virtua faz, a velox e etc.. Eles bloqueam portas como 80, 21, em fim, queria fazer o mesmo na minha rede, alguem saberia como deveria estar o meu filtro?

Tentei o seguinte, porém, isso funciona só para o RouterOS e não para os meus clientes:

;;; DROPAR POTAS TCP 0-1024
chain=input action=drop protocol=tcp dst-port=0-1024

---

faltou o dst-address....

Coloca ai a faixa de IP dos seus clientes.

Citação:

---

Postado originalmente por thiagokjf

Ola pessoal, to precisando de uma forcinha:

Sei que no firewall do mikrotik, a chain input (tudo com sentido ao RouterOS), output ( do RouterOS para fora) e forward (tudo que passa por ele). Porém quero fazer bloqueio de portas nos meus concentradores PPPOE, bloqueando tudo que vem de fora em cima de portas específicas com destino aos meus clientes. Como a net virtua faz, a velox e etc.. Eles bloqueam portas como 80, 21, em fim, queria fazer o mesmo na minha rede, alguem saberia como deveria estar o meu filtro?

Tentei o seguinte, porém, isso funciona só para o RouterOS e não para os meus clientes:

;;; DROPAR POTAS TCP 0-1024
chain=input action=drop protocol=tcp dst-port=0-1024

---

A proteção mais eficaz seria bloquear todas as conexões tipo new de fora para dentro tanto na input quanto na forward, e liberar as new de dentro para fara e as estabelecidas e conectadas geradas a partir destas.

E se você quer bloquear o que vai para os seus clientes a chain deveria ser forward, e detalhe se vc utiliza nat, faria mais sentido você bloquear o que sai dos nesse range baixo de portas, evitando assim que um computador invadido se comporte como servidor WEB por exemplo e fique enviando pacotes tendo como src-port a 80 ou a 443.
Normalmente seus clientes vão enviar pacotes para dst-ports baixas, exemplo servidores WEB na net, nunca o contrario.

Mas tenho curiosidade sobre esse assunto pois a maioria dos provedores deixa totalmente aberto a forward, dropando no máximo conexões invalidas.

A recomendação SEMPRE, se o objetivo for proteger os 'clientes', ou seja o tráfego 'passante', é fazer o bloqueio das portas menores que a 1024 na FORWARD. A INPUT só diz respeito ao processamento local, ou seja, pacotes destinados aos IPS locais do próprio roteador, e não como o amigo falou acima. FORWARD diz respeito a tráfego que atravessa o roteador.

Lembrando que se você tem NAT tem que deixar ativado (permitir) sempre conexões com o estado 'established' e 'related'. Segue leitura sobre o assunto.

https://pt.m.wikipedia.org/wiki/Stateful_firewall