Salve amigos do Under-Linux!
Meu nome é Roberto Jacob, sou usuário deste fórum a um tempo e este é meu primeiro post, esperando eu ajudar muita gente ou o máximo possível.
Sempre vejo aqui pessoas que precisam de ajuda e gente disposta a ajudar, porém tem algo muito agravante no meio disso: respostas complicadas, pois 90% dos usuários que perguntam são iniciantes e não sabem muita coisa ou de muitas SIGLAS, são raras as respostam que realmente resolvem de maneira prática, e creio eu que o intúito deste fórum é ajudar compartilhando conhecimento.
Recentemente estive procurando por algumas regras relacionadas a Firewall no Mikrotik, e depois de visitadas inumeras páginas com respostas que não ajudam, encontrei em um site na blogosfera uma lista, não sei se completa, mas com muitos scripts indispensáveis para seu servidor rodar com mais segurança, pois muito além de apenas controlar banda, o MK tem que ser seguro. Deixemos de "palavriar", e vamos aos códigos.
Obrigado a todos que leram meu tópico, espero ter sido útil. Não sou um Geek Expert, apenas ralo muito pesquisando pra resolver meus problemas e angariar mais knowhow!
Conexoes estabelicidas
chain=forward connection-state=established action=accept
Relacionamento de conexoes
chain=forward connection-state=related action=accept
Dropa conexoes invalidas
chain=forward connection-state=invalid action=drop
Dropa exesso de ping
chain=forward protocol=icmp limit=50/5s,2 action=drop
Sem limite de ping
chain=forward protocol=icmp limit=50/5s,2 action=accept
DROPAR ARQUIVOS .SCR
chain=input content=.scr action=drop
Bloqueio NETBIOS:
chain=forward protocol=tcp dst-port=137-139 action=drop
Bloqueio NETBIOS 2
chain=forward protocol=tcp dst-port=445 action=drop
Bloqueia host se enxergar
chain=forward src-address=0.0.0.0 dst-address=0.0.0.0 action=drop
Limite de conexao P2P por clientes: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
chain=forward src-address=192.168.3.2 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
(até o final de seus ips cadastrado)
Limite de conexao por cliente: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
chain=forward src-address=192.168.3.2 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
até o final de seus ips cadastrado)
Bloqueia scan via winbox para todos
chain=input protocol=udp dst-port=5678 action=drop
Libera winbox para ips locais: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
chain=input src-address=192.168.2.2 protocol=tcp dst-port=8291 action=accept
(até o final de seus ips cadastrado)
Libera portas FTP SSH TELNET para ips locais:
chain=input src-address=192.168.2.2 protocol=tcp ds-port=21-23 action=accept
Bloqueia porta winbox range local
chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=8291 action=drop
chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=8291 action=drop
Bloqueia portas FTP SSH TELNET
chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=21-23 action=drop
chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=21-23 action=drop
Bloqueio MAC winbox
chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=20561 action=drop
chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=20561 action=drop
Bloqueio do Proxy externo
chain=input in-interface=LINK protocol=tcp dst-port=3128 action=drop
Bloqueio de ssh externo
chain=input in-interface=LINK protocol=tcp dst-port=22-23 action=drop
Bloqueio de ftp externo
chain=input in-interface=LINK protocol=tcp dst-port=21 action=drop
Bloqueio de telnet externo
chain=input in-interface=LINK protocol=tcp dst-port=23 action=drop
Bloqueio winbox externo
chain=input in-interface=LINK protocol=tcp dst-port=8291 action=drop
Bloqueio do DNS externo
chain=input in-interface=LINK protocol=tcp dst-port=53 action=drop
chain=input in-interface=LINK protocol=udp dst-port=53 action=drop
Bloqueio de VIRUS conhecidos
chain=virus protocol=tcp dst-port=445 action=drop
chain=virus protocol=udp dst-port=445 action=drop
chain=virus protocol=tcp dst-port=593 action=drop
chain=virus protocol=tcp dst-port=1080 action=drop
chain=virus protocol=tcp dst-port=1363 action=drop
chain=virus protocol=tcp dst-port=1364 action=drop
chain=virus protocol=tcp dst-port=1373 action=drop
chain=virus protocol=tcp dst-port=1377 action=drop
chain=virus protocol=tcp dst-port=1368 action=drop
chain=virus protocol=tcp dst-port=1433-1434 action=drop
chain=virus protocol=tcp dst-port=1024-1030 action=drop
chain=virus protocol=tcp dst-port=1214 action=drop
Drop Blaster Worm
chain=virus protocol=tcp dst-port=135-139 action=drop
Drop Messenger Worm
chain=virus protocol=udp dst-port=135-139 action=drop
Drop Blaster Worm
chain=virus protocol=tcp dst-port=445 action=drop
Drop Blaster Worm
chain=virus protocol=udp dst-port=445 action=drop
chain=virus protocol=tcp dst-port=593 action=drop
chain=virus protocol=tcp dst-port=1024-1030 action=drop
chain=virus protocol=tcp dst-port=1080 action=drop
chain=virus protocol=tcp dst-port=1214 action=drop
chain=virus protocol=tcp dst-port=1363 action=drop
chain=virus protocol=tcp dst-port=1364 action=drop
chain=virus protocol=tcp dst-port=1368 action=drop
chain=virus protocol=tcp dst-port=1373 action=drop
chain=virus protocol=tcp dst-port=1377 action=drop
chain=virus protocol=tcp dst-port=1433-1434 action=drop
chain=virus protocol=tcp dst-port=2745 action=drop
chain=virus protocol=tcp dst-port=2283 action=drop
chain=virus protocol=tcp dst-port=2535 action=drop
chain=virus protocol=tcp dst-port=2745 action=drop
chain=virus protocol=tcp dst-port=3127-3128 action=drop
Drop Backdoor OptixPro
chain=virus protocol=tcp dst-port=3410 action=drop
Worm
chain=virus protocol=tcp dst-port=4444 action=drop
Worm
chain=virus protocol=udp dst-port=4444 action=drop
Drop Sasser
chain=virus protocol=tcp dst-port=5554 action=drop
Drop Beagle.B
chain=virus protocol=tcp dst-port=8866 action=drop
Drop Dabber.A-B
chain=virus protocol=tcp dst-port=9898 action=drop
Drop Dumaru.Y
chain=virus protocol=tcp dst-port=10000 action=drop
Drop MyDoom.B
chain=virus protocol=tcp dst-port=10080 action=drop
Drop NetBus
chain=virus protocol=tcp dst-port=12345 action=drop
Drop Kuang2
chain=virus protocol=tcp dst-port=17300 action=drop
Drop SubSeven
chain=virus protocol=tcp dst-port=27374 action=drop
Drop PhatBot, Agobot, Gaobot
chain=virus protocol=tcp dst-port=65506 action=drop
Drop Netbios e Similar
chain=forward protocol=udp dst-port=135 action=drop
chain=forward protocol=tcp dst-port=135 action=drop
chain=forward protocol=udp dst-port=137 action=drop
chain=forward protocol=udp dst-port=137 action=drop
chain=forward protocol=udp dst-port=138 action=drop
chain=forward protocol=tcp dst-port=138 action=drop
chain=forward protocol=udp dst-port=139 action=drop
chain=forward protocol=tcp dst-port=139 action=drop
chain=forward protocol=tcp dst-port=445 action=drop
chain=forward protocol=udp dst-port=445 action=drop
acessar winbox somente administrador
chain=input protocol=tcp dst-port=8291 src-mac-address=xx:xx:xx:XX:XX:xx action=accept
bloquear winbox em todos
chain=input protocol=tcp dst-port=8291 action=drop
Quebra de Criptografia Warez: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
add chain=forward src-address=192.168.3.8 protocol=tcp tcp-flags=syn connection-limit=12,32 action=drop
(até o final de seus ips cadastrado)
Obrigado.