Amigos... o q vou propor nao sei se já não tem.. pelo menos não achei..
poderíamos deixar um post fixo aki com um script de firewall completo.. para quem queira somente copiar e colar?
Digo isso pq eu uso o script do curso q fiz com os malukos da Mikrotik Brasil (S, E e M) e com eles trouxe um firewall completo.. com os drops das invalidas... accepts nas relacionadas e estabelicidas... bate bate bate na porta do céu... bloqueio de atakes ssh, virus... etc... etc...
com tudo isso pronto... eu achei q tinha tudo.. mas conversando com outro maluko.. (esse eh maluko mesmo...) ele disse q meu firewall ainda tah muito incompleto... faltava muita coisa... e ele ateh se propôs.. a completar ele semana q vem... Eh um maluko beleza.. Tb gosta de contribuir... gente boa..
enquanto isso na sala da justiça...
Macacos me mordam Batman.. como podemos fazer um script completo e disponibilizar para todo mundo?
Simples.. vamos até a comunidade Underlinux, Robin!
bom...
vou postar o script com as regras desabilitadas.. pq cada caso eh um caso...
mas meu intuito aki eh chegar a um único firewall, completo e funcional para todos.
então por favor.. contribuam..
Detalhe: meu firewall nao eh meu como falei.. copiei do curso e adicionei outras coisas q achei aki mesmo no forum.
gracias a todos,
/ip firewall filter
add action=drop chain=input comment="Descarta invalidas" connection-state=\
invalid disabled=yes
add action=add-src-to-address-list address-list=temp1 address-list-timeout=\
15s chain=input comment="" disabled=yes dst-port=1111 protocol=tcp
add action=add-src-to-address-list address-list=temp2 address-list-timeout=\
15s chain=input comment="" disabled=yes dst-port=2222 protocol=tcp \
src-address-list=temp1
add action=add-src-to-address-list address-list=liberado \
address-list-timeout=2h chain=input comment="" disabled=yes dst-port=3333 \
protocol=tcp src-address-list=temp2
add action=add-src-to-address-list address-list=bloqueado-por-SSH \
address-list-timeout=1d chain=input comment="" disabled=yes dst-port=22 \
protocol=tcp src-address=!10.0.0.200
add action=add-src-to-address-list address-list=bloqueado-por-telnet \
address-list-timeout=1d chain=input comment="" disabled=yes dst-port=23 \
protocol=tcp src-address=!10.0.0.200
add action=accept chain=input comment="Aceita winbox da lista liberado" \
disabled=yes dst-port=8291 protocol=tcp src-address-list=liberado
add action=drop chain=input comment="nega acesso winbox" disabled=yes \
dst-port=8291 protocol=tcp
add action=jump chain=input comment="Salta para canal icmp" disabled=yes \
jump-target=ICMP protocol=icmp
add action=accept chain=input comment="Aceita pings 1/segundo" disabled=yes \
in-interface=ether2 limit=1,3 protocol=icmp
add action=drop chain=input comment="Descarta restante pings" disabled=yes \
in-interface=ether2 protocol=icmp
add action=jump chain=input comment="Salta para o canal virus" disabled=yes \
jump-target=VIRUS
add action=accept chain=input comment="Aceita estabelecidas" \
connection-state=established disabled=yes
add action=accept chain=input comment="Aceita relacionadas" connection-state=\
related disabled=yes
add action=accept chain=input comment="Aceita redes internas" disabled=yes \
in-interface=!wlan1
add action=accept chain=input comment="Aceita winbox Externo" disabled=yes \
dst-port=8291 in-interface=ether2 protocol=tcp
add action=accept chain=input comment="Aceita SSH" disabled=yes dst-port=22 \
protocol=tcp
add action=accept chain=input comment="Aceita telnet" disabled=yes dst-port=\
23 protocol=tcp
add action=drop chain=input comment="Descarta Restante" disabled=yes
add action=drop chain=forward comment="Descarta Invalidas" connection-state=\
invalid disabled=yes
add action=drop chain=forward comment="" disabled=yes src-address-list=\
bloqueado-por-telnet
add action=jump chain=forward comment="Salta para canal icmp" disabled=yes \
jump-target=ICMP
add action=jump chain=forward comment="Salta para o canal virus" disabled=yes \
jump-target=VIRUS
add action=accept chain=forward comment="Aceita estabelecidas" \
connection-state=established disabled=yes
add action=accept chain=forward comment="Aceita relacionadas" \
connection-state=related disabled=yes
add action=drop chain=VIRUS comment="" disabled=yes protocol=tcp src-port=445
add action=drop chain=VIRUS comment="" disabled=yes dst-port=445 protocol=tcp
add action=drop chain=VIRUS comment="Drop Blaster Worm" disabled=yes \
protocol=udp src-port=445
add action=drop chain=VIRUS comment="Drop Blaster Worm" disabled=yes \
dst-port=445 protocol=udp
add action=drop chain=VIRUS comment="" disabled=yes protocol=tcp src-port=\
135-139
add action=drop chain=VIRUS comment="" disabled=yes protocol=udp src-port=\
135-139
add action=drop chain=VIRUS comment="" disabled=yes dst-port=135-139 \
protocol=tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=135-139 \
protocol=udp
add action=drop chain=VIRUS comment=________ disabled=yes dst-port=593 \
protocol=tcp
add action=drop chain=VIRUS comment=________ disabled=yes dst-port=1024-1030 \
protocol=tcp
add action=drop chain=VIRUS comment="Drop MyDoom" disabled=yes dst-port=1080 \
protocol=tcp
add action=drop chain=VIRUS comment=________ disabled=yes dst-port=1214 \
protocol=tcp
add action=drop chain=VIRUS comment="ndm requester" disabled=yes dst-port=\
1363 protocol=tcp
add action=drop chain=VIRUS comment="ndm server" disabled=yes dst-port=1364 \
protocol=tcp
add action=drop chain=VIRUS comment="screen cast" disabled=yes dst-port=1368 \
protocol=tcp
add action=drop chain=VIRUS comment=hromgrafx disabled=yes dst-port=1373 \
protocol=tcp
add action=drop chain=VIRUS comment=cichlid disabled=yes dst-port=1377 \
protocol=tcp
add action=drop chain=VIRUS comment="Bagle VIRUS" disabled=yes dst-port=2745 \
protocol=tcp
add action=drop chain=VIRUS comment="Drop Dumaru.Y" disabled=yes dst-port=\
2283 protocol=tcp
add action=drop chain=VIRUS comment="Drop Beagle" disabled=yes dst-port=2535 \
protocol=tcp
add action=drop chain=VIRUS comment="Drop Beagle.C-K" disabled=yes dst-port=\
2745 protocol=tcp
add action=drop chain=VIRUS comment="Drop MyDoom" disabled=yes dst-port=3127 \
protocol=tcp
add action=drop chain=VIRUS comment="Drop Backdoor OptixPro" disabled=yes \
dst-port=3410 protocol=tcp
add action=drop chain=VIRUS comment=Worm disabled=yes dst-port=4444 protocol=\
tcp
add action=drop chain=VIRUS comment=Worm disabled=yes dst-port=4444 protocol=\
udp
add action=drop chain=VIRUS comment="Drop Sasser" disabled=yes dst-port=5554 \
protocol=tcp
add action=drop chain=VIRUS comment="Drop Beagle.B" disabled=yes dst-port=\
8866 protocol=tcp
add action=drop chain=VIRUS comment="Drop Dabber.A-B" disabled=yes dst-port=\
9898 protocol=tcp
add action=drop chain=VIRUS comment="Drop Dumaru.Y" disabled=yes dst-port=\
10000 protocol=tcp
add action=drop chain=VIRUS comment="Drop MyDoom.B" disabled=yes dst-port=\
10080 protocol=tcp
add action=drop chain=VIRUS comment="Drop NetBus" disabled=yes dst-port=12345 \
protocol=tcp
add action=drop chain=VIRUS comment="Drop Kuang2" disabled=yes dst-port=17300 \
protocol=tcp
add action=drop chain=VIRUS comment="Drop SubSeven" disabled=yes dst-port=\
27374 protocol=tcp
add action=drop chain=VIRUS comment="Drop PhatBot, Agobot, Gaobot" disabled=\
yes dst-port=65506 protocol=tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=513 protocol=tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=513 protocol=udp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=525 protocol=tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=525 protocol=udp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=568-569 \
protocol=tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=568-569 \
protocol=udp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=1512 protocol=\
tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=1512 protocol=\
udp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=396 protocol=tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=396 protocol=udp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=1366 protocol=\
tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=1366 protocol=\
udp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=1416 protocol=\
tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=1416 protocol=\
udp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=201-209 \
protocol=tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=201-209 \
protocol=udp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=545 protocol=tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=545 protocol=udp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=1381 protocol=\
udp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=1381 protocol=\
tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=3031 protocol=\
tcp
add action=drop chain=VIRUS comment="" disabled=yes dst-port=3031 protocol=\
udp
add action=accept chain=ICMP comment="" disabled=yes icmp-options=0:0 \
protocol=icmp
add action=accept chain=ICMP comment="" disabled=yes icmp-options=8:0 \
protocol=icmp
add action=accept chain=ICMP comment="" disabled=yes icmp-options=11:0 \
protocol=icmp
add action=accept chain=ICMP comment="" disabled=yes icmp-options=3:3 \
protocol=icmp
add action=accept chain=ICMP comment="" disabled=yes icmp-options=3:4 \
protocol=icmp
add action=drop chain=ICMP comment="" disabled=yes protocol=icmp
-
29-03-2009, 15:45 #1
- Ingresso
- Jun 2007
- Posts
- 215
Script firewall completo e atualizado!
-
29-03-2009, 15:49 #2
- Ingresso
- Jun 2007
- Posts
- 215
Bom.. gostei do seu script caro eu.. mas agora me surgiu uma duvida...
as regras de firewalll do HOTSPOT são dinamicas... elas tem q ficar antes de minhas regras padrões ou depois?
parece q qd eu boto essas regras e ativo o hotspot... nao funciona muita coisa direito...
sei lah.. fikei doido agora...
qual eh o ideal? as regras do hotspot depois dessas q postei.. antes.. ou no meio?
-
06-05-2009, 10:22 #3
- Ingresso
- Jun 2008
- Posts
- 54
Vc se parece com o Raul Seixas antes de escrever maluco beleza...
Concordo com vc!!!
Sim! Existe um firewall perfeito!!!
As regras do Hotspot entram antes das regras que vc já tem, assim que vc desativa o hotspot elas desaparecem, é só por isto que são DINÂMICAS. Vou te dar uma DICONA: "Vc já parou para analizar as regras de firewall do hotspot?" Estas dinâmicas que aparecem e desaparecem junto com o hotspot, pois é, elas são perfeitas!!!!!
Cuidado com quem ensina por partes!!!! O Aluno é que tem de aprender por partes, conforme sua capacidade mental e emocional, já o instrutor tem de ensinar TUDO!
vou postar um aqui que é para um cliente que está em ambiente totalmente seguro" dentro de um "walled garden", tá uma M mas para o cara é perfeito... :
/ ip firewall mangle
add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=P2P-CONECTION passthrough=yes \
comment=";;;;;;;;;;;;;;;;;;; CONTROLE P2P" disabled=no
add chain=prerouting connection-mark=P2P-CONECTION action=mark-packet new-packet-mark=P2P-PACK passthrough=yes \
comment="" disabled=no
add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite \
passthrough=yes comment=";;;;;;;;;;;;;;;;;;; Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=22 action=mark-packet new-packet-mark=semlimite \
passthrough=yes comment="" disabled=no
add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=23 action=mark-packet new-packet-mark=semlimite \
passthrough=yes comment="" disabled=no
add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite \
passthrough=yes comment="" disabled=no
add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=53 action=mark-packet new-packet-mark=semlimite \
passthrough=yes comment="" disabled=no
add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite \
passthrough=yes comment="" disabled=no
add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite \
passthrough=yes comment="" disabled=no
add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=8080 action=mark-packet new-packet-mark=semlimite \
passthrough=yes comment="" disabled=no
add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=6891-6901 action=mark-packet \
new-packet-mark=semlimite passthrough=yes comment="" disabled=no
add chain=output protocol=tcp src-port=6688 content="X-Cache: HIT" action=mark-connection \
new-connection-mark=conn_squid_up passthrough=yes comment=";;;;;;;;;;;; Marca conex o Web-Proxy Cache" disabled=no
add chain=output connection-mark=conn_squid_up action=mark-packet new-packet-mark=pack_squid_up passthrough=yes \
comment="" disabled=no
add chain=prerouting protocol=tcp dst-port=6688 action=mark-connection new-connection-mark=conn_squid_down \
passthrough=yes comment="" disabled=no
add chain=prerouting connection-mark=conn_squid_down action=mark-packet new-packet-mark=pack_squid_down passthrough=yes \
comment="" disabled=no
add chain=prerouting content=youtube action=mark-connection new-connection-mark=YTB passthrough=yes \
comment=";;;;;;;;;;;;;;;;;; YOUTUBE" disabled=no
add chain=prerouting connection-mark=YTB action=mark-packet new-packet-mark=youtube passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.2.103 protocol=udp src-port=44155-44156 action=mark-packet \
new-packet-mark="limite uploadthais" passthrough=yes comment=";;;;;;;;;;;;;;;;;;;;;; WAREZ SANDRA THAIS 1" \
disabled=no
add chain=forward src-address=192.168.2.171 protocol=udp src-port=35551-35552 action=mark-packet \
new-packet-mark="limite uploaddavid" passthrough=yes comment=";;;;;;;;;;;;;;;;;;;;;; WAREZ SANDRA THAIS 1" \
disabled=no
/ ip firewall nat
add chain=dstnat in-interface=LAN src-address=192.168.2.0/24 protocol=tcp dst-port=80 action=redirect to-ports=6688 \
comment=";;; Redirecionamento do Web-Proxy" disabled=no
add chain=srcnat src-address=192.168.2.0/24 action=masquerade comment=";;;;;;;;;; NAT MASCARADO" disabled=no
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m tcp-syncookie=no
/ ip firewall filter
add chain=input in-interface=WAN protocol=tcp dst-port=6688 action=drop comment=";;; BLOQUEIA ACESSO EXTERNO AO PROXY" \
disabled=no
add chain=input protocol=tcp dst-port=6688 action=accept comment=";;;;;ACEITA ACESSO PROXY " disabled=no
add chain=input protocol=tcp action=accept comment="ACEITA TUDO" disabled=no
add chain=forward protocol=tcp action=accept comment="ACEITA TUDO" disabled=no
add chain=output protocol=tcp action=accept comment="ACEITA TUDO" disabled=no
add chain=forward connection-state=established action=accept comment=";;; permite estabelecer conex es" disabled=no
add chain=forward connection-state=related action=accept comment=";;; permitir conex es relacionadas" disabled=no
add chain=forward connection-state=invalid action=drop comment=";;; Bloqueia conex es inv lidas" disabled=no
add chain=forward src-address=0.0.0.0/0 protocol=tcp tcp-flags=syn packet-mark=!semlimite connection-limit=9,32 \
action=drop comment="Limitando numero conexoes simultaneas" disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment="aceitando 50 pings a cada 5 segundos" disabled=no
add chain=input protocol=icmp action=drop comment="bloqueando o excesso" disabled=no
add chain=input in-interface=WAN protocol=tcp dst-port=53 action=drop comment=";;;;;DROPA DNS EXTERNO" disabled=no
add chain=forward src-address=192.168.2.80-192.168.2.99 action=reject reject-with=icmp-net-prohibited comment="" \
disabled=no
add chain=input src-address=192.168.2.80-192.168.2.99 action=reject reject-with=icmp-net-prohibited comment="" \
disabled=no
/ ip firewall service-port
set ftp ports=21 disabled=no
set tftp ports=69 disabled=no
set irc ports=6667 disabled=no
set h323 disabled=no
set quake3 disabled=no
set gre disabled=no
set pptp disabled=no
-
06-05-2009, 10:28 #4
- Ingresso
- Jun 2008
- Posts
- 54
Outra coisa muito importante...
NÃO ADIANTA VC ANALIZAR O FIREWALL FILTER SEM O MANGLE E O NAT E O RESTO JUNTOS... falo isto pois vc se preocupou em postar o filter, mas não o mangle e o nat e o resto...
O FIREWALL É UM SÓ! E ELE TEIMA EM FUNCIONAR TUDO JUNTO! rsss....
Abraços!
-
07-05-2009, 15:57 #5
- Ingresso
- Oct 2006
- Posts
- 1.800
Postado originalmente por SempreOnLine
Vixe!!!
O firewall realmente é um só, mas no Mk ele é dividido em 3 partes independentes.
O filter (filtro) trabalha basicamente como proteção primária da rede. Nele de forma básica é utilizado para aceitar ou negar pacotes. (ponto)
O NAT é onde realizado o NAT mesmo, bem como os redirecionamentos baseados na origem ou no destino dos pacotes.
O Mangle é um marcador de pacotes. Nele podemos alterar algumas caracteristicas dos pacotes como mms, mmu, ttl e etc.
As service ports são auxiliares do nat que serve basicamente para compatibilizar alguns protocolos e serviços com o nat.
O connection tracking mostra os estados de todas as conexões e só é disponível quando o firewall opera em "state full"
O address-list do firewall, basicamente serve para criar listas com ips (baseado em endereços de origem / destino)
Layer7 está relacionada a regex do protocolo 7. Serve para criar combinações de regras em outras partes.
Veja que é bem simples o firewall e todas e cada função funciona independente uma da outra. Afirmar que filter só funciona com nat ou mangle ou vice-versa está errado. O que podemos afirmar é que dependendo do que você usa, provavelmente irá depender das abas auxiliares. Exemplo, podemos criar uma regra na aba filter do firewall, utilizando uma regex colocada na aba layer7 do firewall (nesse caso um dependerá do outro).
Lembrado que de nada serve as marcações colocadas no mangle caso não estejam sendo utilizadas em outros cantos (assim como as regex do layer7 e as listas da address-list).
PS: Regras dinâmicas não são consideradas perfeitas, mas sim necessárias. As regras do hotspot aparecem dinâmicamente quando configurado o hotspot, para facilitar a vida de quem configura. Isso foi implementado pela Mikrotik visando facilitar as configurações, pois imagina você ter que configurar cada uma daquelas regras manualmente para habilitar o hotspot. Muitos teriam problemas...Última edição por catvbrasil; 07-05-2009 às 16:00.
-
07-05-2009, 16:49 #6
- Ingresso
- Jan 2008
- Localização
- Teresina-PI
- Posts
- 1.002
Opa Gostei!
-
07-05-2009, 17:42 #7
- Ingresso
- Oct 2006
- Posts
- 1.800
As regras apresentadas no treinamento da MD não são de forma alguma consideradas completas. Elas são o ínício ou mínimo do que um bom firewall realmente precisa. Um bom firewall é criado através de conceitos. Cada rede tem suas características específicas, e dependendo, únicas. Essa idéia de "o melhor" firewall ou "o mais completo" firewall é meio que uma utopia. O que pode acontecer é que alguma coisa chegue perto, mas perfeito mesmo, só feito na unha e de acordo com sua rede. Postado originalmente por eugeniomarques
Usem os conceitos!!! Com conceitos nem é necessário compartilhar firewall ou regras.
-
07-05-2009, 20:45 #8
- Ingresso
- Apr 2007
- Posts
- 420
Posso citar um exemplo de minha rede. Postado originalmente por catvbrasil
Aqui só uso o controle de banda para p2p, não vejo no momento a necesidades de ampliar, gostei das primeiras regras talvez aproveite algo aqui.
Uma das regras que usei durante 1 mês e nem fez efeito fou dropar as conexões inválidas, a mesma não passou um pacote pela minha rede.
Então vejo que são, boas as regras postadas, mas cada regra se aplica a uma rede em especifico, e é proveitoso ver os colegas postando os seus firewall, mas é bom fazer uns comentários sobre os mesmo. Pois senão fica meio sem fundamento, ou entendimento.
-
07-05-2009, 21:01 #9
Concordo com você amigo, eu quando comecei no mikrotik, pegava tudo que aparecia pela frente e jogava no mikrotik.. (sem nem saber pra que servia), com o tempo comecei a perceber que estava ficando pior em vez de melhorar.. Postado originalmente por wimigasltda
Posso citar um exemplo de minha rede.
Aqui só uso o controle de banda para p2p, não vejo no momento a necesidades de ampliar, gostei das primeiras regras talvez aproveite algo aqui.
Uma das regras que usei durante 1 mês e nem fez efeito fou dropar as conexões inválidas, a mesma não passou um pacote pela minha rede.
Então vejo que são, boas as regras postadas, mas cada regra se aplica a uma rede em especifico, e é proveitoso ver os colegas postando os seus firewall, mas é bom fazer uns comentários sobre os mesmo. Pois senão fica meio sem fundamento, ou entendimento.
Hoje só coloco uma regra se souber o que ela faz.. e se eu achar que realmente tem essa necessidade.
Mas é bom essa iniciativa dos amigos, assim todos os interessandos pegam o que acharem util.
abraços,
-
08-05-2009, 00:00 #10
- Ingresso
- Dec 2007
- Localização
- Aracati, Brazil
- Posts
- 260
achei uma ótima idéia o que é bom se aproveita, porque vejo que a maioria do pessoal quando configura alguma coisa que agente vai olhar.. os comments estão todos em ingles.. seria porque o cara adora os EUA, não provavelmente copiou de algum site tbm... e não quer ter nem o trabalho de mudar os comments, rsrsrsrs.
Vlw a ideia.. vou olhar bem direitinho o seu.. e ver se tem alguma coisa do meu que eu possa complementar.
-
08-05-2009, 14:44 #11
- Ingresso
- Jun 2007
- Posts
- 215
Postado originalmente por SempreOnLine
Eh disso q eu falo... isso eh q eh comunidade... Postado originalmente por catvbrasil
nem sei como agradecer....
-
26-05-2009, 13:25 #12
- Ingresso
- May 2009
- Posts
- 300
fireall
Aqui eu deixo as minhas regras de firewall... grato jean msn [email protected]
-
27-05-2009, 03:07 #13
- Ingresso
- Jun 2007
- Posts
- 215
Justamente... nunca disse q eram completas e absolutas... por isso a ideia de montar um bom firewall como inicio.. Postado originalmente por catvbrasil
Exatamente isso.. chegar perto... que tal se tentassemos isso juntos? Postado originalmente por catvbrasil
Chegar perto eh exatamente do q precisamos aki...
Bom.. te garanto q estou tentando... Postado originalmente por catvbrasil
jah li muitos posts seus.. e de outros tantos aki.. e tento chegar numa especie de script quase-completo..
um grande abraço
-
08-06-2009, 19:41 #14
- Ingresso
- May 2007
- Posts
- 475
entender
acho que o importante é o cara entender, já fui em lugares e lá encontrar regras que eu pergunto para o cara para que serve e o cara diz: não sei copiei e colei, coisas que não tem nada a ver com a rede do dele, mais é pq o cara não sabe mesmo para que serve nunca estudou e as vezes tem até falta de coragem de fazer isso, esse que não que estudar sim merece é se ferrar, mais quando a gente ver que o mesmo quer saber, tem interesse, esse sim a gente tem até gosto de ajudar, pelo menos comigo é assim pois lembro como foi pra mim aprender....
-
08-06-2009, 19:49 #15
- Ingresso
- Jun 2007
- Posts
- 215
Grande Observador.... Postado originalmente por pedrovigia
Eh exatamente isso... eu gosto de ler.. aprender.. e disseminar.. pelo menos qd eu entendo...
o q estou propondo seria isso.. um script firewall completo.. e tb comentado.. claro q tem regras q soh precisa um simples comentario.. como por exemplo.. as regras de virus... ueh... a regra eh asism pq?? pq o virus utiliza determinada porta para se disseminar.. entao.. se nós bloqueamos a porta.. aparentemente bloqueia-se o vírus... blz... e como faço pra evitar o trafego inutil em minha rede?? e se eu quiser evitar um port scan??
bom.. se tivessesmos um bom firewall de inicio.. jah seria meio caminho andado pra muita gente... aquelas pessoas q gostam de ler e aprender..
agora se o cara.. pega um exemplo do q postamos aki.. aih nao dah certo.. e depois.. fica zoando.. perguntando.. aih não.. vai estudar cara...
mas se todo mundo contribuir com uma ideia de firewall.. logo, logo, teremos opções para analisar e fazer o nosso proprio...
nao eh copiar e colar.. eh copiar.. ler.. entender.. filtrar.. adaptar.. e colar...
pelo menos eh assim q eu faço...
um grande abraço
-
08-06-2009, 23:18 #16
- Ingresso
- Apr 2005
- Posts
- 52
Acompanhando
To começando a estudar firewall, achei otimo essa iniciativa, assim q puder, estarei tambem colaborando nesse post.
-
08-06-2009, 23:24 #17
- Ingresso
- Oct 2006
- Posts
- 1.800
Vou colaborar com o melhor firewall:
As 3 ÚLTIMAS regras:
chain=input action=drop
chain=forward action=drop
chain=output action=drop
-
09-06-2009, 14:33 #18
- Ingresso
- Jun 2007
- Posts
- 215
Postado originalmente por catvbrasil
???
GRande Circuito Aberto de TV (CATV)...,
Eu tenho muito apreço por vc... grande material q uso possuem creditos seus...
obrigado!
-
16-06-2009, 01:38 #19
- Ingresso
- Jun 2008
- Posts
- 54
SIM SENHOR! NÃO É PERFEITO!
Postado originalmente por catvbrasil
Ai CATV, sou seu fã e coloco de forma detalhada de baixo para cima que é para vc me corrigir! Faça-o sem dó! rsss!!!! Vc tem razão as regras dinâmicas do hotspot NÃO SÃO PERFEITAS!!!! peguei um erro básico do pessoal da mikrotik aqui!!!
Vc quis dizer que no mikrotik o firewall é dividido em partes mas funciona tudo junto né? como as rodas, o motor, etc... são partes diferentes do carro, mas para este ser carro tem que funfar tudo junto... será que tô tudo errado aqui, aqui entendi que ele é separado da seguinte forma:
alguém postou sobre o firewall...
______________________________________________________________________________________________________________
______________________________________________________________________________________________________________Basicamente o obrigatório é a regra de NAT (no manual passo-a-passo). O firewall é uma coisa personalizada e normalmente é confeccionado de acordo com a rede e com os problemas alheios que podem vir a aparecer. Basicamente, aconselho na aba "filter" que você insira os procedimentos para limitar conecções simultânes (manual passo-a-passo) e as regras de controle de P2P no mangle do firewall (manual passo-a-passo). O resto é complemento e pode ser confeccionado de acordo com as necessidades...
PS: Cuidado com regras aparentemente sem nexo. O firewall é uma faca de dois gumes e pode ser uma função maravilhosa, como pode ser também um terror mal configurado.
FIREWALL (ABAS)
FILTER = Nesta aba você cria basicamente regras de entrada, saida e internas. Regras basicas de bloqueio ou liberação são feitas aqui.
NAT = Esta parte do firewall você realiza redirecionamentos em geral.
MANGLE = Nesta parte do firewall que você faz marcações de pacotes e reencaminhamentos. Aqui você marca pacotes, protocolos, portas e quase tudo. Você também pode enviar estes pacotes para várias partes do MK.
SERVICE PORTS = Aqui mostra todas as portas e protocolos padrões habilitados no MK.
CONNECTIONS = Log de conexões, com portas, ips, protocolos, marcações de pacotes e também tempo e estatus da conexão.
ADDRESS LIST = Mostra todos os ips enviados para listas. Para funcionar deve ser configurado em uma das abas (filter, nat ou mangle). Serve para armazenar em listas, relatórios específicos. Exemplo: Pode-se mandar entrar em uma lista específica, pacotes de virus específicos, para posterior análize. Entre outras funções.
Acima: Eu mesmo. Não retirado de nenhum lugar. Retirado, bem resumido do proximo livro (MK).
Ops, acho que é vc quem postou acima...rsss... Inclusive parece que tem até uma determinada ordem de execução de cada parte do firewall, tipo o primeiro a ser executado no firewall é o MANGLE, depois....
...a perfeição para mim é uma coisa eficaz, útil para maioria e que dá certo, antítese tipo: não existe nada mais ineficaz que fazer eficientemente aquilo que não precisava ser feito... rsss... então não existe firewall perfeito para todas as aplicações, existe sim o papo de advogado: - DEPENDE...
as regras dinâmicas do hotspot deveriam ser perfeitas pois são as básicas necessárias, e estritamente necessárias para o funcionamento do hotspot, se analizarmos vemos que elas aparecem no firewall em Filter e em NAT.
EM UMA CONFIGURAÇÃO SIMPLES DO HOTSPOT O MIKROTIK ESTABELECE AS DINÂMICAS:
No NAT a primeira jump os canais dstnat para hotspot, a segunda jump o canal hotspot para pre-hotspot, ai vem redirecionamento de portas de DNS / http... para as portas 64872-64875, depois ele pega o canal hotspot e separa quem fez a autenticação correta e quem não e coloca nos targets hs-auth e hs-unauth em seguida redireciona as portas hs-unauth,
ai tem uma dinâmica:
add chain=hs-unauth protocol=tcp dst-port=3128 action=redirect to-ports=64874 comment="" disabled=no
PEGADINHA! CUIDADO POIS SE USAR O WEB-PROXY EM OUTRA PORTA ELE NÃO MUDA!! MESMO SET NO PROFILE DO SERVER DO HOTSPOT OUTRA PORTA AQUI CONTINUA A 3128... SOLUÇÃO MINHA: criei uma regra nova identica com a porta correta do web-proxy e coloquei no meio das dinâmicas.
e depois jump este último com a porta 25 para hs-smtp, redireciona hs-auth para a porta do hotspot e jump a porta 25 para hs-smtp também.
No Filter o "mikrotik dinâmico" jump os canais foward não autenticados p/ hs-unauth e http p/ hs-unauth-to dai ele jump o input p/ hs-input, como não tem configurações extras no meio ele jump o hs-input p/ pre-hs-input aceita as portas e o hs-input e jump o último sem autenticação do cliente p/ p/ hs-unauth denovo. rejeita o resto com hs-unauth e com o canal hs-unauth-to caso a caso.
...peguei hoje aqui um cliente cadastrado no hotspot com MAC e IP no ip binding que não se autenticou trafegando, ip e mac corretos na rede, porem na ABA hosts do Hotspot o rapaz estava sem o A: Login user e senha e mesmo assim estava trafegando... monitorei e verifiquei uma conexão pptp dele (não usamos pptp aqui porem o serviço está habilitado no firewall SERVICE PORTS), derrubei a conexão pptp dele e ele continuou trafegando em outras portas (1000-3900 não lembro exatamente), derrubei ele no Hosts do Hotspot, e ele voltou trafegando, fui na router e desconectei ele, dei 5 min. e reconectei, e ele voltou trafegando sem autenticação??? peguei os ips source de conexão dele e apareceu o aviso de malware??? que raio de programa vaza o hotspot do mikrotik, como se prevenir?
Alguém já viu isto?
Aproveitando a deixa alguém já monitorou ultimamente ou tem informação de conexões com vírus recentes ou algum novo gerenciador de download novo, aonde posso atualizar informação destes para proteção e uso no firewall do mikrotik?
DESCULPEM AS BRINCADEIRAS! ABS.
-
16-06-2009, 10:15 #20
- Ingresso
- Jun 2008
- Posts
- 54
É isto aí, falou tudo.
Concordo e por isto sou seu fã! São 3 abas distintas para 3 tipos de ações diferentes, porém não consigo analizar o Filter do Raulzito sem ver que pacote ele está marcando no Mangle ou que target ele colocou no Nat, ou que porta ele está redirecionando no Nat para bloquear o acesso externo e permitir o interno no Filter, caso do web-proxy, etc, etc, etc, etc, etc, etc, etc... Postado originalmente por catvbrasil
Então Raulzito, como eu e o CATV sugerimos, posta tudo aí pois o "Diabo mora nos detalhes" e em roteamento e redes as falhas geralmente estão no óbvio! Incrível mas a perfeição também está no óbvio!
O Rapaz voltou hoje e está denovo trafegando sem fazer o Login, olha aí o caso a caso:
Está com conexões como source and. no TCP portas 3183 - dst 174.36.206.198:8692 / 3361 dst 74.125.91.100:80 / 3363 dst 222.186.13.27:80 / 3390 dst 222.186.13.27:80 e uma conexão provavel DNS da porta 1050 p/ dst porta 53 do servidor mikrotik que está com o servidor DNS habilitado e fazendo cache.
alguém já monitorou isto?
Abraços.
Citação