Postado originalmente por
catvbrasil
A classificação seria pelo IP do cliente... Vou mandar alguma coisa abaixo pra ter uma idéia da coisa...
REDIRECIONAMENTO DE CLIENTES PARA PÁGINA INICIAL (PPPOE)
/ip firewall nat
add chain=dstnat src-address=10.0.0.1-10.0.0.253 dst-address=!10.0.0.2 \
protocol=tcp dst-port=80 connection-limit=!1,24 action=dst-nat \
to-addresses=10.0.0.2 to-ports=81 comment="REGRA PARA DEFINIR PÁGINA \
INICIAL" disabled=no
Esta regra acima define quem será a página inicial do cliente. Quando o mesmo entra no PPPoE, será direcionado automaticamente para a página sua que está no servidor local (dentro da rede). Para criar um servidor web simples em uma máquina windows, utilizei o soft "ironwall". Esta regra deve ser colocada logo após a regra de NAT, para seguir a irarquia de priorização do firewall. No exemplo acima o src-address é uma faixa de ips (10.0.0.1-10.0.0.253), na qual é redirecionada para o servidor web (winxp com ironwall) no ip 10.0.0.2. Para ser redirecionado automaticamente para sua página inicial, criei um código fonte dentro desta página inicial, recarrengando ela mesma, gerando assim, algumas conexões simultâneas e mudando automaticamente de página. Basicamente a regra funciona a ação do "conection limit".
PS: A porta padrão do irowall foi alterada para a 81.
BLOQUEIO DE CLIENTE PARA PÁGINA INICIAL
/ip firewall nat
add chain=dstnat src-address=10.0.0.1 dst-address=!10.0.0.2 protocol=tcp \
dst-port=80 action=dst-nat to-addresses=10.0.0.2 to-ports=81 comment="REGRA \
PARA DIRECIONAR CLIENTE PARA UMA MESMA PÁGINA \(D BITO\) - SISTEMA \
INTELIGÊNTE DE BLOQUEIO" disabled=yes
Esta regra é a mesma de cima, somente retirando o "conection limit" o mikrotik entenderá que em todas as circustâncias ele deve sempre redirecionar o cliente para o servidor (10.0.0.2). Neste caso o cliente 10.0.0.1 está bloqueado. A mesma página HTML pode ser utilizada (está em anexo), pois quando a mesma for redirecionada após os 10 segundos, irá voltar para ela mesma, criando um loop na qual o cliente não conseguirá sair e exibirá apenas aquela mensagem padrão de bloqueio. O ideal para ficar show, é incluir uma regra como a debaixo para este mesmo cliente, para bloquear todos os serviços, exceto o da página.
REGRA ANEXA PARA BLOQUEIO DE CLIENTES
/ip firewall nat
add chain=src-nat src-address=10.0.0.1 protocol=!tcp \
src-port=!80 action=drop comment="BLOQUEIO DE CLIENTE" \
disabled=yes
Com esta regra acima de exceção, o mikrotik bloqueará todas as portas e protocolos, menos a porta 80 e o protocolo tcp.
Em anexo o ironwall e os arquivos da página inicial de testes... Dúvidas? Entre em contato que a gente desenvolve qualquer coisa!!!