Proteção Básica para redes Bridge:
/interface bridge filter
add action=drop chain=forward comment="Bloqueio de Broadcast" disabled=no \
mac-protocol=ip packet-type=broadcast
add action=drop chain=input comment="Bloqueio Ataques Spanning Tree" disabled=\
no dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF
add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
comment="Bloqueia Arp Espurios" disabled=no mac-protocol=arp
add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
comment="Bloqueia Arp Espurios (Nao esqueca de selecionar sua interface em \
In-Bridge)" disabled=no in-bridge=bridge1 mac-protocol=arp
add action=drop chain=input comment="Anti-DHCPServer-Externo" disabled=no \
ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward disabled=no ip-protocol=udp mac-protocol=ip \
src-port=67
add action=drop chain=forward comment="Netbios" disabled=no dst-port=135-139 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward disabled=no dst-port=135-139 ip-protocol=udp \
mac-protocol=ip
add action=drop chain=forward disabled=no dst-port=445 ip-protocol=tcp \
mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO UBNT-DISCOVER" disabled=no \
dst-port=10001 ip-protocol=udp mac-protocol=ip
add action=drop chain=input comment="Bloqueia Descoberta de Vizinhanca" \
disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
Espero estar ajudando a muitos que gostariam de estar protegendo suas RB´s em suas interfaces Bridge contra alguns tipo de ataques como ARP.
Grande Abraço a todos!
Se alguém mais quiser enriquecer esse tópico com alguma sugestão de filtro para bridge´s fique a vontade!
Vamos juntos construir uma fortaleza para proteger nossas bridge de possíveis ataques.
Segue em anexo o arquivo das regras para aqueles que estiverem com erros
ao copiar no terminal do winbox:Regras_filter_basico.txt
Lembrando que a quebra de pagina deve estar desmarcada na opção formatar do bloco de notas para que você possa copiar as regras e colar no terminal do winbox para não haver erros!
Se ajudei estrelinha!