+ Responder ao Tópico



  1. #1

    Padrão Um script para Firewall no Mikrotik bem simples

    FIREWALL MIKROTIK

    /ip firewall filter

    add chain=forward connection-state=established action=accept comment=";;; permite estabelecer conex es"
    add chain=forward connection-state=related action=accept comment=";;; permitir conex es relacionadas"
    add chain=forward connection-state=invalid action=drop comment=";;; Bloqueia conex es inv lidas"
    add chain=virus protocol=tcp dst-port=135-139 action=drop comment=";;; Drop Blaster Worm"
    add chain=virus protocol=udp dst-port=135-139 action=drop comment=";;; Drop Messenger Worm"
    add chain=virus protocol=tcp dst-port=445 action=drop comment=";;; Drop Blaster Worm"
    add chain=virus protocol=udp dst-port=445 action=drop comment=";;; Drop Blaster Worm"
    add chain=virus protocol=tcp dst-port=593 action=drop comment=";;; ________"
    add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=";;; ________"
    add chain=virus protocol=tcp dst-port=1080 action=drop comment=";;; Drop MyDoom"
    add chain=virus protocol=tcp dst-port=1214 action=drop comment=";;; ________"
    add chain=virus protocol=tcp dst-port=1363 action=drop comment=";;; ndm requester"
    add chain=virus protocol=tcp dst-port=1364 action=drop comment=" ;;; ndm server"
    add chain=virus protocol=tcp dst-port=1368 action=drop comment=";;; screen cast"
    add chain=virus protocol=tcp dst-port=1373 action=drop comment=";;; hromgrafx"
    add chain=virus protocol=tcp dst-port=1377 action=drop comment=";;; cichlid"
    add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=";;; Worm"
    add chain=virus protocol=tcp dst-port=2745 action=drop comment=";;; Bagle Virus"
    add chain=virus protocol=tcp dst-port=2283 action=drop comment=";;; Drop Dumaru.Y"
    add chain=virus protocol=tcp dst-port=2535 action=drop comment=";;; Drop Beagle"
    add chain=virus protocol=tcp dst-port=2745 action=drop comment=";;; Drop Beagle.C-K"
    add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment=";;; Drop MyDoom"
    add chain=virus protocol=tcp dst-port=3410 action=drop comment=";;; Drop Backdoor OptixPro"
    add chain=virus protocol=tcp dst-port=4444 action=drop comment=";;; Worm"
    add chain=virus protocol=udp dst-port=4444 action=drop comment=";;; Worm"
    add chain=virus protocol=tcp dst-port=5554 action=drop comment=";;; Drop Sasser"
    add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
    add chain=virus protocol=tcp dst-port=9898 action=drop comment=";;; Drop Dabber.A-B"
    add chain=virus protocol=tcp dst-port=10000 action=drop comment=";;; Drop Dumaru.Y"
    add chain=virus protocol=tcp dst-port=10080 action=drop comment=";;; Drop MyDoom.B"
    add chain=virus protocol=tcp dst-port=12345 action=drop comment=";;; Drop NetBus"
    add chain=virus protocol=tcp dst-port=17300 action=drop comment=";;; Drop Kuang2"
    add chain=virus protocol=tcp dst-port=27374 action=drop comment=";;; Drop SubSeven"
    add chain=virus protocol=tcp dst-port=65506 action=drop comment=";;; Drop PhatBot, Agobot, Gaobot"
    add chain=forward action=jump jump-target=virus comment=";;; jump to the virus chain"
    add chain=input protocol=icmp limit=50/5s,2 comment="aceitando 50 pings a cada 5 segundos"
    add chain=input protocol=icmp action=drop comment="bloqueando o excesso"
    add chain=forward protocol=tcp dst-port=80 action=accept comment=";;; Allow HTTP"
    add chain=forward protocol=tcp dst-port=25 action=accept comment=";;; Allow SMTP"
    add chain=forward protocol=tcp action=accept comment=";;; allow TCP"
    add chain=forward protocol=icmp action=accept comment=";;; allow ping"
    add chain=forward protocol=udp action=accept comment=";;; allow udp"
    add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else"
    add chain=forward action=drop comment=";;; drop everything else"
    Última edição por magnusrk8; 13-11-2008 às 10:44.

  2. #2

    Padrão

    Amigão, coloquei essas regras no meu MK pra fazer teste, e meu processador foi a 100%, e nos logs apareceram varios drops do link e da bridge com destino =(none), e ai voltei minhas regras e voltou ao normal, oq pode ser?



  3. #3

    Padrão

    Citação Postado originalmente por rogeriodj Ver Post
    Amigão, coloquei essas regras no meu MK pra fazer teste, e meu processador foi a 100%, e nos logs apareceram varios drops do link e da bridge com destino =(none), e ai voltei minhas regras e voltou ao normal, oq pode ser?
    Amigo remove a punultima regra.

    add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else"

  4. #4

    Padrão

    Lembrem-se que as regras de forward que não serão "jumpada" para a target vírus, tem que estarem antes da jump virus.



  5. #5

    Padrão

    ola magnusrk8.. seguinte quero montar um servidor de log aki no meu provedor cara..
    mais nunca fiz um, vc poderia me dar umas dicas de firewall...
    Tipo por esse server passari td o que o cliente acessa, para controle.
    Não querendo invadir a privacidade naum, mais é que isso vai virar lei..
    todos provedores de internet deverão ter controle de td o que passa na sua rede...
    pode ajudar sobre isso...

    vlw

  6. #6

    Padrão

    Coloquei as regras acima mais algmas ficaram desabilitadas e nao habilita.
    por que sera?
    so as regras com drop
    Última edição por jeanlima; 25-01-2009 às 22:04.



  7. #7

    Padrão

    Citação Postado originalmente por jeanlima Ver Post
    Coloquei as regras acima mais algmas ficaram desabilitadas e nao habilita.
    por que sera?
    so as regras com drop
    Eu coloquei aqui as regras e nao removi aquele item que o cara falou, e nao ficou nada desabilitado, pergunta para que serve aquela rega que o cara pediu para remover? tem problema deixar habilitado?

  8. #8

    Padrão

    So uma pergunta...
    Para que serve essa regra:
    add chain=forward action=jump jump-target=virus comment=";;; jump to the virus chain"

    Eu deixei ela abaixo de todas essas regras citadas no topico, esta certo? ela tem lugar certo para ficar?

    Abraços.



  9. #9

    Padrão

    Esta regra de jump é para somente deixar mais organização e identificação de suas regras.

  10. #10

    Padrão

    Citação Postado originalmente por cooperrj Ver Post
    So uma pergunta...
    Para que serve essa regra:
    add chain=forward action=jump jump-target=virus comment=";;; jump to the virus chain"

    Eu deixei ela abaixo de todas essas regras citadas no topico, esta certo? ela tem lugar certo para ficar?

    Abraços.
    Amigo o Mikrotik possue 3 cadeias padrões para processamento dos pacotes (input, forward e output), porém você pode criar novas cadeias para organizar e melhorar o desempenho do seu firewall. Quando é criado uma nova cadeia, esta por não fazer parte das 3 cadeias padrões, precisa de um jump de uma cadeia padrão para ela. Caso não haja este jump, esta nova cadeia criada, não processará nenhum pacote. Eu recomendo deixá-la logo como primeira regra na maioria dos casos, pois imagine você ter uma regra que aceite uma determinada coisa e um virus esteja enquadrado nestas condições. Simplesmente o virus será aceito e não será processado na cadeia "virus". Lembre-se que quando um pacote é aceito, salvo caso de ação "passthrougt", ele não é mais processado pelas regras abaixo dele. Por este motivo, acredito ser muito melhor dropar primeiro os virus e todo o restante ser processado abaixo nas outras regras (por que tudo que não se enquadrar na lista virus, será trafego bom).



  11. #11

    Padrão

    Obrigado pela explicação, agora sim entendi para que ela serve.

  12. #12

    Padrão

    Veja se essas regras podem te ajudar....

    /ip firewall filter
    add action=passthrough chain=pre-hs-input comment="place hotspot rules here" \
    disabled=no
    add action=drop chain=output comment="Dropar Proxy Externo" disabled=no \
    protocol=tcp src-address=!192.168.0.0/16 src-port=3128
    add action=drop chain=input comment="" disabled=no icmp-options=8:0 limit=1,5 \
    protocol=tcp src-address=!192.168.0.0/16 src-port=3128
    add action=drop chain=forward comment="" disabled=no protocol=tcp \
    src-address=!192.168.0.0/16 src-port=3128
    add action=drop chain=forward comment="Conex\F5es Inv\E1lidas" \
    connection-state=invalid disabled=no
    add action=drop chain=forward comment="" disabled=no dst-address=\
    192.168.0.0/16 in-interface=Cliente out-interface=Cliente protocol=udp \
    src-address=192.168.0.0/16 src-port=135-140
    add action=drop chain=input comment="" disabled=no dst-address=192.168.0.0/16 \
    dst-port=135-140 in-interface=Cliente protocol=udp src-address=\
    192.168.0.0/16
    add action=drop chain=output comment="" disabled=no dst-address=\
    192.168.0.0/16 out-interface=Cliente protocol=tcp src-address=\
    192.168.0.0/16 src-port=135-140
    add action=drop chain=output comment="" disabled=no dst-address=\
    192.168.0.0/16 dst-port=135-140 out-interface=Cliente protocol=tcp \
    src-address=192.168.0.0/16
    add action=drop chain=output comment="" disabled=no dst-address=\
    192.168.0.0/16 dst-port=135-140 out-interface=Cliente protocol=udp \
    src-address=192.168.0.0/16
    add action=jump chain=forward comment=" Ares" disabled=no jump-target=Ares \
    p2p=warez protocol=tcp
    add action=jump chain=forward comment="Cria jumps para novas chains" \
    disabled=no jump-target=virus protocol=tcp
    add action=drop chain=forward comment="Dropar conexo P2p por horrio" \
    connection-mark=P2P-Conexao disabled=no p2p=all-p2p protocol=tcp time=\
    7h-23h59m,sun,mon,tue,wed,thu,fri,sat
    add action=drop chain=Ares comment="Bloqueio de Ares por horrio" \
    connection-mark=P2P-Conexao disabled=no p2p=warez protocol=tcp time=\
    7h-23h59m,sun,mon,tue,wed,thu,fri,sat
    add action=drop chain=forward comment="" connection-mark=P2P-Conexao \
    disabled=no dst-port=0 protocol=udp
    add action=drop chain=forward comment="" connection-mark=P2P-Conexao \
    disabled=no p2p=blubster
    add action=drop chain=forward comment="" connection-mark=P2P-Conexao \
    disabled=no p2p=direct-connect
    add action=drop chain=forward comment="" disabled=no p2p=fasttrack
    add action=drop chain=forward comment="" disabled=no p2p=fasttrack
    add action=drop chain=forward comment="" connection-limit=10,32 \
    connection-mark=P2P-Conexao disabled=no limit=1,3 p2p=gnutella protocol=\
    tcp
    add action=drop chain=forward comment="" connection-limit=10,32 \
    connection-mark=P2P-Conexao connection-state=new disabled=no limit=1,3 \
    p2p=edonkey protocol=tcp
    add action=drop chain=forward comment="" connection-mark=P2P-Conexao \
    disabled=no p2p=bit-torrent
    add action=drop chain=forward comment="" connection-limit=10,32 \
    connection-mark=P2P-Conexao disabled=no limit=1,3 p2p=warez protocol=tcp
    add action=drop chain=forward comment="" connection-mark=P2P-Conexao \
    disabled=no p2p=winmx
    add action=log chain=input comment="Log everything else" disabled=yes \
    log-prefix="DROP INPUT"
    add action=drop chain=forward comment="Bloqueios principais" disabled=no \
    protocol=tcp src-port=135-140
    add action=drop chain=forward comment="" disabled=no protocol=udp src-port=\
    135-140
    add action=drop chain=forward comment="" disabled=no dst-port=135-140 \
    protocol=tcp
    add action=drop chain=forward comment="" disabled=no dst-port=135-140 \
    protocol=udp
    add action=drop chain=input comment="" disabled=no protocol=udp src-port=\
    135-140
    add action=drop chain=input comment="" disabled=no dst-port=135-140 protocol=\
    tcp
    add action=drop chain=input comment="" disabled=no dst-port=135-140 protocol=\
    udp
    add action=drop chain=virus comment="" disabled=no dst-port=1080 protocol=tcp
    add action=drop chain=virus comment="" disabled=no dst-port=1363 protocol=tcp
    add action=drop chain=virus comment="" disabled=no dst-port=1364 protocol=tcp
    add action=drop chain=virus comment="" disabled=no dst-port=1373 protocol=tcp
    add action=drop chain=virus comment="" disabled=no dst-port=1377 protocol=tcp
    add action=drop chain=virus comment="" disabled=no dst-port=1368 protocol=tcp
    add action=drop chain=virus comment="" disabled=no dst-port=3306 protocol=tcp
    add action=drop chain=virus comment="" disabled=no dst-port=1025 protocol=tcp
    add action=drop chain=virus comment="" disabled=no dst-port=1433-1434 \
    protocol=tcp
    add action=drop chain=virus comment="" disabled=no dst-port=1024-1030 \
    protocol=tcp
    add action=drop chain=input comment="dropar e salvar na lista Negra" \
    disabled=no dst-port=21,22,23,25 protocol=tcp src-address-list=\
    Lista_Negra
    add action=add-src-to-address-list address-list=Lista_Negra \
    address-list-timeout=1w3d chain=input comment="Regra da Lista Negra" \
    connection-limit=1,32 disabled=no dst-port=21,22,23,25 protocol=tcp
    add action=accept chain=input comment="Acesso Admin Local" disabled=no \
    src-address=192.168.10.200
    add action=accept chain=output comment="" disabled=no dst-address=\
    192.168.10.200
    add action=accept chain=input comment="" disabled=no protocol=icmp
    add action=accept chain=output comment="" disabled=no protocol=icmp
    add action=drop chain=input comment=\
    "Bloqueia scan via local / para todos abaixo." disabled=no dst-port=5678 \
    protocol=udp src-address=!192.168.10.200
    add action=drop chain=forward comment="Limitar Conexoes" connection-limit=\
    15,32 disabled=no dst-port=!80 protocol=tcp src-address=192.168.0.0/16 \
    tcp-flags=syn
    add action=add-src-to-address-list address-list=pscanners \
    address-list-timeout=2w chain=input comment="PORT SCANNERS TO LIST" \
    disabled=no protocol=tcp psd=21,3s,3,1
    add action=add-src-to-address-list address-list=pscanners \
    address-list-timeout=2w chain=input comment="NMAP FIN STEALTH" disabled=\
    no protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
    add action=add-src-to-address-list address-list=pscanners \
    address-list-timeout=2w chain=input comment=SYN/FINn disabled=no \
    protocol=tcp tcp-flags=fin,syn
    add action=add-src-to-address-list address-list=pscanners \
    address-list-timeout=2w chain=input comment=FIN/PSH/URG disabled=no \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!ack
    add action=add-src-to-address-list address-list=pscanners \
    address-list-timeout=2w chain=input comment=ALL/ALL disabled=no protocol=\
    tcp tcp-flags=fin,syn,rst,psh,ack,urg
    add action=add-src-to-address-list address-list=pscanners \
    address-list-timeout=2w chain=input comment=SYN/RST disabled=no protocol=\
    tcp tcp-flags=syn,rst
    add action=add-src-to-address-list address-list=pscanners \
    address-list-timeout=2w chain=input comment="NMAP NULL" disabled=no \
    protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
    add action=drop chain=input comment="DROP CONECC\C3O INVALIDO" \
    connection-state=invalid disabled=no
    add action=accept chain=customer comment="ALLOW ESTABLISHED CONNECTIONS" \
    connection-state=established disabled=no
    add action=accept chain=customer comment="ALLOW RELATED CONNECTIONS" \
    connection-state=related disabled=no
    add action=log chain=customer comment="LOG DROPPED CONNECTIONS" disabled=no \
    log-prefix=customer_drop
    add action=drop chain=customer comment="DROP AND LOG EVERYTHING ELSE" \
    disabled=no
    add action=accept chain=forward comment="" disabled=no limit=1,5 protocol=tcp \
    tcp-flags=fin,syn,rst,ack
    add action=accept chain=input comment=SYN-FLOOD disabled=no limit=1,5 \
    protocol=tcp tcp-flags=fin,syn,rst,ack
    add action=accept chain=input comment="DOS ATTACK" disabled=no icmp-options=\
    8:0 limit=1,5 protocol=icmp
    add action=accept chain=forward comment="" disabled=no icmp-options=8:0 \
    limit=1,5 protocol=icmp
    add action=drop chain=input comment="DROPPING PORT SCANNERS" disabled=no \
    src-address-list=pscanners
    add action=drop chain=customer comment="DROP PACOTES DE CONEC O INVALIDOS" \
    connection-state=invalid disabled=no
    add action=accept chain=customer comment="ACEITAR CONEC O ESTABELECIDAS" \
    connection-state=established disabled=no
    add action=accept chain=customer comment="ALLOW RELATED CONNECTIONS" \
    connection-state=related disabled=no
    add action=drop chain=customer comment="DROP AND LOG EVERYTHING ELSE" \
    disabled=no
    add action=accept chain=input comment="ACEITA CONEC OES RELACIONADAS" \
    connection-state=related disabled=no
    add action=drop chain=input comment="NEGAR CONECC\D5ES INVALIDAS" \
    connection-state=invalid disabled=no
    add action=accept chain=input comment=UDP disabled=no protocol=udp
    add action=accept chain=input comment="ACEITAR LIMITES DE PINGS" disabled=no \
    limit=50/5s,2 protocol=icmp
    add action=accept chain=input comment="SSH for secure shell" disabled=no \
    dst-port=22 protocol=tcp
    add action=accept chain=input comment=winbox disabled=no dst-port=8291 \
    protocol=tcp
    add action=drop chain=input comment="Conex\F5es Inv\E1lidas" \
    connection-state=invalid disabled=no
    add action=drop chain=customer comment="DROP INVALID CONNEECTION PACKETS" \
    connection-state=invalid disabled=no
    add action=accept chain=customer comment="ALLOW ESTABLISHED CONNECTIONS" \
    connection-state=established disabled=no
    add action=accept chain=customer comment="ALLOW RELATED CONNECTIONS" \
    connection-state=related disabled=no
    add action=accept chain=forward comment="" disabled=no limit=1,5 protocol=tcp \
    tcp-flags=fin,syn,rst,ack
    add action=accept chain=input comment=SYN-FLOOD disabled=no limit=1,5 \
    protocol=tcp tcp-flags=fin,syn,rst,ack
    add action=accept chain=input comment="DOS ATTACK" disabled=no icmp-options=\
    8:0 limit=1,5 protocol=icmp



  13. #13

    Padrão

    As portas: 3127-3128

    Não são usadas por padrão do proxy?? Tem vírus usando essas portas?

  14. #14

    Padrão

    Se estas regras estiverem dropadas, o proxy fica lento, depois vem aquele monte de post dizendo que a rede tá lenta quando ativa o proxy.



  15. #15

    Padrão

    Citação Postado originalmente por EdilsonLSouza Ver Post
    As portas: 3127-3128

    Não são usadas por padrão do proxy?? Tem vírus usando essas portas?


    Essas portas que estão sendo dropadas seria para quem usa outras portas para o proxy como a 8080, agora se vc usa essas portas para o seu proxy éh só vc dropar a sua interface do Link.

  16. #16

    Padrão

    Citação Postado originalmente por cooperrj Ver Post
    So uma pergunta...
    Para que serve essa regra:
    add chain=forward action=jump jump-target=virus comment=";;; jump to the virus chain"

    Eu deixei ela abaixo de todas essas regras citadas no topico, esta certo? ela tem lugar certo para ficar?

    Abraços.

    essa regra com esse nome virus vc cria uma nova "chain" , lá onde fica forward, input e etc.... vai aparecer "virus". aí qualquer regra qu vc crie em relação a virus, ele vai entender como forward.



  17. #17

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Amigo o Mikrotik possue 3 cadeias padrões para processamento dos pacotes (input, forward e output), porém você pode criar novas cadeias para organizar e melhorar o desempenho do seu firewall. Quando é criado uma nova cadeia, esta por não fazer parte das 3 cadeias padrões, precisa de um jump de uma cadeia padrão para ela. Caso não haja este jump, esta nova cadeia criada, não processará nenhum pacote. Eu recomendo deixá-la logo como primeira regra na maioria dos casos, pois imagine você ter uma regra que aceite uma determinada coisa e um virus esteja enquadrado nestas condições. Simplesmente o virus será aceito e não será processado na cadeia "virus". Lembre-se que quando um pacote é aceito, salvo caso de ação "passthrougt", ele não é mais processado pelas regras abaixo dele. Por este motivo, acredito ser muito melhor dropar primeiro os virus e todo o restante ser processado abaixo nas outras regras (por que tudo que não se enquadrar na lista virus, será trafego bom).
    catv, não sou especialista, mal sei criar uma regrinha de drop no firewall. Mas colocando a regra de virus no topo, vai fazer com que todos os vírus devidamente identificados sejam dropados sem passar pelas outras regras, gerando alguma economia de processamento. Mas todos os pacotes "bons" serão lidos por essa mesma regra, pra depois irem pros próximos filtros, o que vai gerar mais processamento. Como eu acredito que a maioria esmagadora dos pacotes vão ser "bons", e apenas alguns vão ser virus, você acaba fazendo a maioria dos pacotes passarem por filtro. Tipo, com a regra no começo, 90% dos pacotes que não precisavam ser verificados por essa regra o serão, e com a regra no final, apenas 10% dos pacotes (os virus) seriam checados pelo resto dos filtros do firewall. Creio que o firewall ficaria mais enxuto se fosse usada a regra de vírus no final da lista de filtros.

    Repetindo, sou leigo até a medula, então posso ter falado alguma besteira

  18. #18

    Padrão

    Citação Postado originalmente por Gosulator Ver Post
    catv, não sou especialista, mal sei criar uma regrinha de drop no firewall. Mas colocando a regra de virus no topo, vai fazer com que todos os vírus devidamente identificados sejam dropados sem passar pelas outras regras, gerando alguma economia de processamento. Mas todos os pacotes "bons" serão lidos por essa mesma regra, pra depois irem pros próximos filtros, o que vai gerar mais processamento. Como eu acredito que a maioria esmagadora dos pacotes vão ser "bons", e apenas alguns vão ser virus, você acaba fazendo a maioria dos pacotes passarem por filtro. Tipo, com a regra no começo, 90% dos pacotes que não precisavam ser verificados por essa regra o serão, e com a regra no final, apenas 10% dos pacotes (os virus) seriam checados pelo resto dos filtros do firewall. Creio que o firewall ficaria mais enxuto se fosse usada a regra de vírus no final da lista de filtros.

    Repetindo, sou leigo até a medula, então posso ter falado alguma besteira
    Na verdade a chain=virus pode ficar em qualquer posição. A regra de jump=virus que você irá determinar a posição dela. Claro que seria mais interessante colocar ela no inicio do canal, mas tudo depende da sua estratégia de firewall. Nem sempre manter no inicio (dependendo da regra) é melhor (não seria o seu caso)...