Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Script firewall completo e atualizado!

    Amigos... o q vou propor nao sei se já não tem.. pelo menos não achei..

    poderíamos deixar um post fixo aki com um script de firewall completo.. para quem queira somente copiar e colar?

    Digo isso pq eu uso o script do curso q fiz com os malukos da Mikrotik Brasil (S, E e M) e com eles trouxe um firewall completo.. com os drops das invalidas... accepts nas relacionadas e estabelicidas... bate bate bate na porta do céu... bloqueio de atakes ssh, virus... etc... etc...

    com tudo isso pronto... eu achei q tinha tudo.. mas conversando com outro maluko.. (esse eh maluko mesmo...) ele disse q meu firewall ainda tah muito incompleto... faltava muita coisa... e ele ateh se propôs.. a completar ele semana q vem... Eh um maluko beleza.. Tb gosta de contribuir... gente boa..

    enquanto isso na sala da justiça...

    Macacos me mordam Batman.. como podemos fazer um script completo e disponibilizar para todo mundo?

    Simples.. vamos até a comunidade Underlinux, Robin!

    bom...

    vou postar o script com as regras desabilitadas.. pq cada caso eh um caso...

    mas meu intuito aki eh chegar a um único firewall, completo e funcional para todos.

    então por favor.. contribuam..

    Detalhe: meu firewall nao eh meu como falei.. copiei do curso e adicionei outras coisas q achei aki mesmo no forum.

    gracias a todos,



    /ip firewall filter
    add action=drop chain=input comment="Descarta invalidas" connection-state=\
    invalid disabled=yes
    add action=add-src-to-address-list address-list=temp1 address-list-timeout=\
    15s chain=input comment="" disabled=yes dst-port=1111 protocol=tcp
    add action=add-src-to-address-list address-list=temp2 address-list-timeout=\
    15s chain=input comment="" disabled=yes dst-port=2222 protocol=tcp \
    src-address-list=temp1
    add action=add-src-to-address-list address-list=liberado \
    address-list-timeout=2h chain=input comment="" disabled=yes dst-port=3333 \
    protocol=tcp src-address-list=temp2
    add action=add-src-to-address-list address-list=bloqueado-por-SSH \
    address-list-timeout=1d chain=input comment="" disabled=yes dst-port=22 \
    protocol=tcp src-address=!10.0.0.200
    add action=add-src-to-address-list address-list=bloqueado-por-telnet \
    address-list-timeout=1d chain=input comment="" disabled=yes dst-port=23 \
    protocol=tcp src-address=!10.0.0.200
    add action=accept chain=input comment="Aceita winbox da lista liberado" \
    disabled=yes dst-port=8291 protocol=tcp src-address-list=liberado
    add action=drop chain=input comment="nega acesso winbox" disabled=yes \
    dst-port=8291 protocol=tcp
    add action=jump chain=input comment="Salta para canal icmp" disabled=yes \
    jump-target=ICMP protocol=icmp
    add action=accept chain=input comment="Aceita pings 1/segundo" disabled=yes \
    in-interface=ether2 limit=1,3 protocol=icmp
    add action=drop chain=input comment="Descarta restante pings" disabled=yes \
    in-interface=ether2 protocol=icmp
    add action=jump chain=input comment="Salta para o canal virus" disabled=yes \
    jump-target=VIRUS
    add action=accept chain=input comment="Aceita estabelecidas" \
    connection-state=established disabled=yes
    add action=accept chain=input comment="Aceita relacionadas" connection-state=\
    related disabled=yes
    add action=accept chain=input comment="Aceita redes internas" disabled=yes \
    in-interface=!wlan1
    add action=accept chain=input comment="Aceita winbox Externo" disabled=yes \
    dst-port=8291 in-interface=ether2 protocol=tcp
    add action=accept chain=input comment="Aceita SSH" disabled=yes dst-port=22 \
    protocol=tcp
    add action=accept chain=input comment="Aceita telnet" disabled=yes dst-port=\
    23 protocol=tcp
    add action=drop chain=input comment="Descarta Restante" disabled=yes
    add action=drop chain=forward comment="Descarta Invalidas" connection-state=\
    invalid disabled=yes
    add action=drop chain=forward comment="" disabled=yes src-address-list=\
    bloqueado-por-telnet
    add action=jump chain=forward comment="Salta para canal icmp" disabled=yes \
    jump-target=ICMP
    add action=jump chain=forward comment="Salta para o canal virus" disabled=yes \
    jump-target=VIRUS
    add action=accept chain=forward comment="Aceita estabelecidas" \
    connection-state=established disabled=yes
    add action=accept chain=forward comment="Aceita relacionadas" \
    connection-state=related disabled=yes
    add action=drop chain=VIRUS comment="" disabled=yes protocol=tcp src-port=445
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=445 protocol=tcp
    add action=drop chain=VIRUS comment="Drop Blaster Worm" disabled=yes \
    protocol=udp src-port=445
    add action=drop chain=VIRUS comment="Drop Blaster Worm" disabled=yes \
    dst-port=445 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes protocol=tcp src-port=\
    135-139
    add action=drop chain=VIRUS comment="" disabled=yes protocol=udp src-port=\
    135-139
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=135-139 \
    protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=135-139 \
    protocol=udp
    add action=drop chain=VIRUS comment=________ disabled=yes dst-port=593 \
    protocol=tcp
    add action=drop chain=VIRUS comment=________ disabled=yes dst-port=1024-1030 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop MyDoom" disabled=yes dst-port=1080 \
    protocol=tcp
    add action=drop chain=VIRUS comment=________ disabled=yes dst-port=1214 \
    protocol=tcp
    add action=drop chain=VIRUS comment="ndm requester" disabled=yes dst-port=\
    1363 protocol=tcp
    add action=drop chain=VIRUS comment="ndm server" disabled=yes dst-port=1364 \
    protocol=tcp
    add action=drop chain=VIRUS comment="screen cast" disabled=yes dst-port=1368 \
    protocol=tcp
    add action=drop chain=VIRUS comment=hromgrafx disabled=yes dst-port=1373 \
    protocol=tcp
    add action=drop chain=VIRUS comment=cichlid disabled=yes dst-port=1377 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Bagle VIRUS" disabled=yes dst-port=2745 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Dumaru.Y" disabled=yes dst-port=\
    2283 protocol=tcp
    add action=drop chain=VIRUS comment="Drop Beagle" disabled=yes dst-port=2535 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Beagle.C-K" disabled=yes dst-port=\
    2745 protocol=tcp
    add action=drop chain=VIRUS comment="Drop MyDoom" disabled=yes dst-port=3127 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Backdoor OptixPro" disabled=yes \
    dst-port=3410 protocol=tcp
    add action=drop chain=VIRUS comment=Worm disabled=yes dst-port=4444 protocol=\
    tcp
    add action=drop chain=VIRUS comment=Worm disabled=yes dst-port=4444 protocol=\
    udp
    add action=drop chain=VIRUS comment="Drop Sasser" disabled=yes dst-port=5554 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Beagle.B" disabled=yes dst-port=\
    8866 protocol=tcp
    add action=drop chain=VIRUS comment="Drop Dabber.A-B" disabled=yes dst-port=\
    9898 protocol=tcp
    add action=drop chain=VIRUS comment="Drop Dumaru.Y" disabled=yes dst-port=\
    10000 protocol=tcp
    add action=drop chain=VIRUS comment="Drop MyDoom.B" disabled=yes dst-port=\
    10080 protocol=tcp
    add action=drop chain=VIRUS comment="Drop NetBus" disabled=yes dst-port=12345 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Kuang2" disabled=yes dst-port=17300 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop SubSeven" disabled=yes dst-port=\
    27374 protocol=tcp
    add action=drop chain=VIRUS comment="Drop PhatBot, Agobot, Gaobot" disabled=\
    yes dst-port=65506 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=513 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=513 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=525 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=525 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=568-569 \
    protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=568-569 \
    protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1512 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1512 protocol=\
    udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=396 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=396 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1366 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1366 protocol=\
    udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1416 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1416 protocol=\
    udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=201-209 \
    protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=201-209 \
    protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=545 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=545 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1381 protocol=\
    udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1381 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=3031 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=3031 protocol=\
    udp
    add action=accept chain=ICMP comment="" disabled=yes icmp-options=0:0 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=yes icmp-options=8:0 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=yes icmp-options=11:0 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=yes icmp-options=3:3 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=yes icmp-options=3:4 \
    protocol=icmp
    add action=drop chain=ICMP comment="" disabled=yes protocol=icmp


  2. #2

    Padrão

    Bom.. gostei do seu script caro eu.. mas agora me surgiu uma duvida...

    as regras de firewalll do HOTSPOT são dinamicas... elas tem q ficar antes de minhas regras padrões ou depois?

    parece q qd eu boto essas regras e ativo o hotspot... nao funciona muita coisa direito...

    sei lah.. fikei doido agora...

    qual eh o ideal? as regras do hotspot depois dessas q postei.. antes.. ou no meio?



  3. #3

    Talking Vc se parece com o Raul Seixas antes de escrever maluco beleza...

    Concordo com vc!!!

    Sim! Existe um firewall perfeito!!!

    As regras do Hotspot entram antes das regras que vc já tem, assim que vc desativa o hotspot elas desaparecem, é só por isto que são DINÂMICAS. Vou te dar uma DICONA: "Vc já parou para analizar as regras de firewall do hotspot?" Estas dinâmicas que aparecem e desaparecem junto com o hotspot, pois é, elas são perfeitas!!!!!

    Cuidado com quem ensina por partes!!!! O Aluno é que tem de aprender por partes, conforme sua capacidade mental e emocional, já o instrutor tem de ensinar TUDO!

    vou postar um aqui que é para um cliente que está em ambiente totalmente seguro" dentro de um "walled garden", tá uma M mas para o cara é perfeito... :

    / ip firewall mangle
    add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=P2P-CONECTION passthrough=yes \
    comment=";;;;;;;;;;;;;;;;;;; CONTROLE P2P" disabled=no
    add chain=prerouting connection-mark=P2P-CONECTION action=mark-packet new-packet-mark=P2P-PACK passthrough=yes \
    comment="" disabled=no
    add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite \
    passthrough=yes comment=";;;;;;;;;;;;;;;;;;; Marcando Pacotes Sem Limite Conexao" disabled=no
    add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=22 action=mark-packet new-packet-mark=semlimite \
    passthrough=yes comment="" disabled=no
    add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=23 action=mark-packet new-packet-mark=semlimite \
    passthrough=yes comment="" disabled=no
    add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite \
    passthrough=yes comment="" disabled=no
    add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=53 action=mark-packet new-packet-mark=semlimite \
    passthrough=yes comment="" disabled=no
    add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite \
    passthrough=yes comment="" disabled=no
    add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite \
    passthrough=yes comment="" disabled=no
    add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=8080 action=mark-packet new-packet-mark=semlimite \
    passthrough=yes comment="" disabled=no
    add chain=forward src-address=192.168.2.0/24 protocol=tcp dst-port=6891-6901 action=mark-packet \
    new-packet-mark=semlimite passthrough=yes comment="" disabled=no
    add chain=output protocol=tcp src-port=6688 content="X-Cache: HIT" action=mark-connection \
    new-connection-mark=conn_squid_up passthrough=yes comment=";;;;;;;;;;;; Marca conex o Web-Proxy Cache" disabled=no
    add chain=output connection-mark=conn_squid_up action=mark-packet new-packet-mark=pack_squid_up passthrough=yes \
    comment="" disabled=no
    add chain=prerouting protocol=tcp dst-port=6688 action=mark-connection new-connection-mark=conn_squid_down \
    passthrough=yes comment="" disabled=no
    add chain=prerouting connection-mark=conn_squid_down action=mark-packet new-packet-mark=pack_squid_down passthrough=yes \
    comment="" disabled=no
    add chain=prerouting content=youtube action=mark-connection new-connection-mark=YTB passthrough=yes \
    comment=";;;;;;;;;;;;;;;;;; YOUTUBE" disabled=no
    add chain=prerouting connection-mark=YTB action=mark-packet new-packet-mark=youtube passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.2.103 protocol=udp src-port=44155-44156 action=mark-packet \
    new-packet-mark="limite uploadthais" passthrough=yes comment=";;;;;;;;;;;;;;;;;;;;;; WAREZ SANDRA THAIS 1" \
    disabled=no
    add chain=forward src-address=192.168.2.171 protocol=udp src-port=35551-35552 action=mark-packet \
    new-packet-mark="limite uploaddavid" passthrough=yes comment=";;;;;;;;;;;;;;;;;;;;;; WAREZ SANDRA THAIS 1" \
    disabled=no
    / ip firewall nat
    add chain=dstnat in-interface=LAN src-address=192.168.2.0/24 protocol=tcp dst-port=80 action=redirect to-ports=6688 \
    comment=";;; Redirecionamento do Web-Proxy" disabled=no
    add chain=srcnat src-address=192.168.2.0/24 action=masquerade comment=";;;;;;;;;; NAT MASCARADO" disabled=no
    / ip firewall connection tracking
    set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
    tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
    udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m tcp-syncookie=no
    / ip firewall filter
    add chain=input in-interface=WAN protocol=tcp dst-port=6688 action=drop comment=";;; BLOQUEIA ACESSO EXTERNO AO PROXY" \
    disabled=no
    add chain=input protocol=tcp dst-port=6688 action=accept comment=";;;;;ACEITA ACESSO PROXY " disabled=no
    add chain=input protocol=tcp action=accept comment="ACEITA TUDO" disabled=no
    add chain=forward protocol=tcp action=accept comment="ACEITA TUDO" disabled=no
    add chain=output protocol=tcp action=accept comment="ACEITA TUDO" disabled=no
    add chain=forward connection-state=established action=accept comment=";;; permite estabelecer conex es" disabled=no
    add chain=forward connection-state=related action=accept comment=";;; permitir conex es relacionadas" disabled=no
    add chain=forward connection-state=invalid action=drop comment=";;; Bloqueia conex es inv lidas" disabled=no
    add chain=forward src-address=0.0.0.0/0 protocol=tcp tcp-flags=syn packet-mark=!semlimite connection-limit=9,32 \
    action=drop comment="Limitando numero conexoes simultaneas" disabled=no
    add chain=input protocol=icmp limit=50/5s,2 action=accept comment="aceitando 50 pings a cada 5 segundos" disabled=no
    add chain=input protocol=icmp action=drop comment="bloqueando o excesso" disabled=no
    add chain=input in-interface=WAN protocol=tcp dst-port=53 action=drop comment=";;;;;DROPA DNS EXTERNO" disabled=no
    add chain=forward src-address=192.168.2.80-192.168.2.99 action=reject reject-with=icmp-net-prohibited comment="" \
    disabled=no
    add chain=input src-address=192.168.2.80-192.168.2.99 action=reject reject-with=icmp-net-prohibited comment="" \
    disabled=no
    / ip firewall service-port
    set ftp ports=21 disabled=no
    set tftp ports=69 disabled=no
    set irc ports=6667 disabled=no
    set h323 disabled=no
    set quake3 disabled=no
    set gre disabled=no
    set pptp disabled=no

  4. #4

    Smile Outra coisa muito importante...

    NÃO ADIANTA VC ANALIZAR O FIREWALL FILTER SEM O MANGLE E O NAT E O RESTO JUNTOS... falo isto pois vc se preocupou em postar o filter, mas não o mangle e o nat e o resto...

    O FIREWALL É UM SÓ! E ELE TEIMA EM FUNCIONAR TUDO JUNTO! rsss....

    Abraços!



  5. #5

    Padrão

    Citação Postado originalmente por SempreOnLine Ver Post
    NÃO ADIANTA VC ANALIZAR O FIREWALL FILTER SEM O MANGLE E O NAT E O RESTO JUNTOS... falo isto pois vc se preocupou em postar o filter, mas não o mangle e o nat e o resto...

    O FIREWALL É UM SÓ! E ELE TEIMA EM FUNCIONAR TUDO JUNTO! rsss....

    Abraços!

    Vixe!!!

    O firewall realmente é um só, mas no Mk ele é dividido em 3 partes independentes.

    O filter (filtro) trabalha basicamente como proteção primária da rede. Nele de forma básica é utilizado para aceitar ou negar pacotes. (ponto)

    O NAT é onde realizado o NAT mesmo, bem como os redirecionamentos baseados na origem ou no destino dos pacotes.

    O Mangle é um marcador de pacotes. Nele podemos alterar algumas caracteristicas dos pacotes como mms, mmu, ttl e etc.

    As service ports são auxiliares do nat que serve basicamente para compatibilizar alguns protocolos e serviços com o nat.

    O connection tracking mostra os estados de todas as conexões e só é disponível quando o firewall opera em "state full"

    O address-list do firewall, basicamente serve para criar listas com ips (baseado em endereços de origem / destino)

    Layer7 está relacionada a regex do protocolo 7. Serve para criar combinações de regras em outras partes.

    Veja que é bem simples o firewall e todas e cada função funciona independente uma da outra. Afirmar que filter só funciona com nat ou mangle ou vice-versa está errado. O que podemos afirmar é que dependendo do que você usa, provavelmente irá depender das abas auxiliares. Exemplo, podemos criar uma regra na aba filter do firewall, utilizando uma regex colocada na aba layer7 do firewall (nesse caso um dependerá do outro).

    Lembrado que de nada serve as marcações colocadas no mangle caso não estejam sendo utilizadas em outros cantos (assim como as regex do layer7 e as listas da address-list).

    PS: Regras dinâmicas não são consideradas perfeitas, mas sim necessárias. As regras do hotspot aparecem dinâmicamente quando configurado o hotspot, para facilitar a vida de quem configura. Isso foi implementado pela Mikrotik visando facilitar as configurações, pois imagina você ter que configurar cada uma daquelas regras manualmente para habilitar o hotspot. Muitos teriam problemas...
    Última edição por catvbrasil; 07-05-2009 às 16:00.

  6. #6

    Padrão

    Opa Gostei!



  7. #7

    Padrão

    Citação Postado originalmente por eugeniomarques Ver Post
    Amigos... o q vou propor nao sei se já não tem.. pelo menos não achei..

    poderíamos deixar um post fixo aki com um script de firewall completo.. para quem queira somente copiar e colar?

    Digo isso pq eu uso o script do curso q fiz com os malukos da Mikrotik Brasil (S, E e M) e com eles trouxe um firewall completo.. com os drops das invalidas... accepts nas relacionadas e estabelicidas... bate bate bate na porta do céu... bloqueio de atakes ssh, virus... etc... etc...

    com tudo isso pronto... eu achei q tinha tudo.. mas conversando com outro maluko.. (esse eh maluko mesmo...) ele disse q meu firewall ainda tah muito incompleto... faltava muita coisa... e ele ateh se propôs.. a completar ele semana q vem... Eh um maluko beleza.. Tb gosta de contribuir... gente boa..

    enquanto isso na sala da justiça...

    Macacos me mordam Batman.. como podemos fazer um script completo e disponibilizar para todo mundo?

    Simples.. vamos até a comunidade Underlinux, Robin!

    bom...

    vou postar o script com as regras desabilitadas.. pq cada caso eh um caso...

    mas meu intuito aki eh chegar a um único firewall, completo e funcional para todos.

    então por favor.. contribuam..

    Detalhe: meu firewall nao eh meu como falei.. copiei do curso e adicionei outras coisas q achei aki mesmo no forum.

    gracias a todos,
    As regras apresentadas no treinamento da MD não são de forma alguma consideradas completas. Elas são o ínício ou mínimo do que um bom firewall realmente precisa. Um bom firewall é criado através de conceitos. Cada rede tem suas características específicas, e dependendo, únicas. Essa idéia de "o melhor" firewall ou "o mais completo" firewall é meio que uma utopia. O que pode acontecer é que alguma coisa chegue perto, mas perfeito mesmo, só feito na unha e de acordo com sua rede.

    Usem os conceitos!!! Com conceitos nem é necessário compartilhar firewall ou regras.

  8. #8

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    As regras apresentadas no treinamento da MD não são de forma alguma consideradas completas. Elas são o ínício ou mínimo do que um bom firewall realmente precisa. Um bom firewall é criado através de conceitos. Cada rede tem suas características específicas, e dependendo, únicas. Essa idéia de "o melhor" firewall ou "o mais completo" firewall é meio que uma utopia. O que pode acontecer é que alguma coisa chegue perto, mas perfeito mesmo, só feito na unha e de acordo com sua rede.

    Usem os conceitos!!! Com conceitos nem é necessário compartilhar firewall ou regras.
    Posso citar um exemplo de minha rede.

    Aqui só uso o controle de banda para p2p, não vejo no momento a necesidades de ampliar, gostei das primeiras regras talvez aproveite algo aqui.

    Uma das regras que usei durante 1 mês e nem fez efeito fou dropar as conexões inválidas, a mesma não passou um pacote pela minha rede.
    Então vejo que são, boas as regras postadas, mas cada regra se aplica a uma rede em especifico, e é proveitoso ver os colegas postando os seus firewall, mas é bom fazer uns comentários sobre os mesmo. Pois senão fica meio sem fundamento, ou entendimento.



  9. #9
    Mikrotiando..
    Ingresso
    Sep 2007
    Localização
    São Paulo
    Posts
    329
    Posts de Blog
    2

    Padrão

    Citação Postado originalmente por wimigasltda Ver Post
    Posso citar um exemplo de minha rede.

    Aqui só uso o controle de banda para p2p, não vejo no momento a necesidades de ampliar, gostei das primeiras regras talvez aproveite algo aqui.

    Uma das regras que usei durante 1 mês e nem fez efeito fou dropar as conexões inválidas, a mesma não passou um pacote pela minha rede.
    Então vejo que são, boas as regras postadas, mas cada regra se aplica a uma rede em especifico, e é proveitoso ver os colegas postando os seus firewall, mas é bom fazer uns comentários sobre os mesmo. Pois senão fica meio sem fundamento, ou entendimento.
    Concordo com você amigo, eu quando comecei no mikrotik, pegava tudo que aparecia pela frente e jogava no mikrotik.. (sem nem saber pra que servia), com o tempo comecei a perceber que estava ficando pior em vez de melhorar..
    Hoje só coloco uma regra se souber o que ela faz.. e se eu achar que realmente tem essa necessidade.
    Mas é bom essa iniciativa dos amigos, assim todos os interessandos pegam o que acharem util.
    abraços,

  10. #10

    Padrão

    achei uma ótima idéia o que é bom se aproveita, porque vejo que a maioria do pessoal quando configura alguma coisa que agente vai olhar.. os comments estão todos em ingles.. seria porque o cara adora os EUA, não provavelmente copiou de algum site tbm... e não quer ter nem o trabalho de mudar os comments, rsrsrsrs.
    Vlw a ideia.. vou olhar bem direitinho o seu.. e ver se tem alguma coisa do meu que eu possa complementar.



  11. #11

    Padrão

    Citação Postado originalmente por SempreOnLine Ver Post
    NÃO ADIANTA VC ANALIZAR O FIREWALL FILTER SEM O MANGLE E O NAT E O RESTO JUNTOS...

    Abraços!
    Citação Postado originalmente por catvbrasil Ver Post
    Vixe!!! .....
    Eh disso q eu falo... isso eh q eh comunidade...

    nem sei como agradecer....

  12. #12

    Padrão muito boa essa amigo

    bom pra colaborar segue alguma coisa se for util
    / ip firewall mangle
    add chain=output protocol=tcp src-port=3128 content="X-Cache: HIT" \
    action=mark-connection new-connection-mark=cachefull passthrough=yes \
    comment="cache full" disabled=no
    add chain=output connection-mark=cachefull action=mark-packet \
    new-packet-mark=cachefull passthrough=yes comment="" disabled=no
    add chain=output connection-mark=cachefull action=return comment="" \
    disabled=no
    add chain=output out-interface=REDE protocol=tcp src-port=64872 \
    action=mark-connection new-connection-mark=hotspot-out passthrough=yes \
    comment="hotspot full" disabled=no
    add chain=output out-interface=REDE protocol=tcp src-port=64873 \
    action=mark-connection new-connection-mark=hotspot-out passthrough=yes \
    comment="" disabled=no
    add chain=output out-interface=REDE protocol=tcp src-port=64874 \
    action=mark-connection new-connection-mark=hotspot-out passthrough=yes \
    comment="" disabled=no
    add chain=output out-interface=REDE protocol=tcp src-port=64875 \
    action=mark-connection new-connection-mark=hotspot-out passthrough=yes \
    comment="" disabled=no
    add chain=output out-interface=REDE protocol=tcp src-port=64872 \
    connection-mark=hotspot-out action=mark-packet new-packet-mark=hotspot \
    passthrough=no comment="" disabled=no
    add chain=output out-interface=REDE protocol=tcp src-port=64873 \
    connection-mark=hotspot-out action=mark-packet new-packet-mark=hotspot \
    passthrough=no comment="" disabled=no
    add chain=output out-interface=REDE protocol=tcp src-port=64874 \
    connection-mark=hotspot-out action=mark-packet new-packet-mark=hotspot \
    passthrough=no comment="" disabled=no
    add chain=output out-interface=REDE protocol=tcp src-port=64875 \
    connection-mark=hotspot-out action=mark-packet new-packet-mark=hotspot \
    passthrough=no comment="" disabled=no
    add chain=prerouting protocol=tcp p2p=all-p2p action=mark-routing \
    new-routing-mark=link passthrough=yes comment="p2p 1 redirecionado link2" \
    disabled=yes
    add chain=prerouting content=youtube action=mark-connection \
    new-connection-mark=YTB passthrough=yes comment="YOUTUBE" disabled=no
    add chain=prerouting connection-mark=YTB action=mark-packet \
    new-packet-mark=youtube passthrough=yes comment="" disabled=no
    add chain=prerouting connection-mark=YTB action=mark-routing \
    new-routing-mark=YTB passthrough=no comment="" disabled=no
    add chain=prerouting protocol=tcp src-port=1863 action=mark-packet \
    new-packet-mark=msn-out passthrough=yes comment="MSN" disabled=no
    add chain=prerouting protocol=tcp dst-port=1863 action=mark-packet \
    new-packet-mark=msn-in passthrough=yes comment="" disabled=no
    add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1360 \
    comment="" disabled=no
    add chain=prerouting protocol=udp dst-port=5060 action=mark-connection \
    new-connection-mark=voip_in passthrough=yes comment="VOIP-IN" disabled=no
    add chain=prerouting connection-mark=voip_in action=mark-packet \
    new-packet-mark=VOIP_IN passthrough=yes comment="" disabled=no
    add chain=prerouting protocol=udp src-port=5060 action=mark-connection \
    new-connection-mark=voip_out passthrough=yes comment="VOIP-OUT" \
    disabled=no
    add chain=prerouting connection-mark=voip_out action=mark-packet \
    new-packet-mark=VOIP_OUT passthrough=yes comment="" disabled=no
    add chain=prerouting protocol=tcp dst-port=80 action=mark-connection \
    new-connection-mark=http-down passthrough=yes comment="HTTP" disabled=no
    add chain=prerouting connection-mark=http-down action=mark-packet \
    new-packet-mark=HTTP passthrough=yes comment="" disabled=no
    add chain=prerouting protocol=tcp dst-port=443 action=mark-connection \
    new-connection-mark=443_conn passthrough=yes comment="SSL" disabled=no
    add chain=forward p2p=bit-torrent action=mark-connection \
    new-connection-mark=bit-torrent_conn passthrough=yes comment="habilitado \
    Marca Conn bit-torrent" disabled=no
    add chain=forward connection-mark=bit-torrent_conn action=mark-packet \
    new-packet-mark=bit-torrent passthrough=yes comment="" disabled=no
    add chain=forward p2p=warez action=mark-connection \
    new-connection-mark=warez_conn passthrough=yes comment="Marca Conn warez" \
    disabled=no
    add chain=forward connection-mark=warez_conn action=mark-packet \
    new-packet-mark=warez passthrough=yes comment="" disabled=no
    add chain=prerouting dst-address=200.201.174.0/24 protocol=tcp dst-port=80 \
    action=mark-packet new-packet-mark=semproxy passthrough=yes \
    comment="Conectivade Social" disabled=no
    add chain=prerouting dst-address=200.221.8.0/24 protocol=tcp dst-port=80 \
    action=mark-packet new-packet-mark=semproxy passthrough=yes comment="" \
    disabled=no
    add chain=prerouting p2p=warez action=mark-connection new-connection-mark=ares \
    passthrough=yes comment="ARES" disabled=no
    add chain=prerouting p2p=all-p2p action=mark-connection \
    new-connection-mark=conexao_p2p passthrough=yes comment="conexao_p2p" \
    disabled=no
    add chain=prerouting connection-mark=conexao_p2p action=mark-packet \
    new-packet-mark=pacotes_p2p passthrough=yes comment="" disabled=no



  13. #13

    Padrão

    / ip firewall nat
    add chain=dstnat protocol=tcp dst-port=80 content="!X-Cache: HIT" \
    action=redirect to-ports=3128 comment="CACHE_SQUID" disabled=no
    add chain=dstnat in-interface=!LINK src-address=192.168.10.0/24 protocol=tcp \
    dst-port=80 action=redirect to-ports=3128 comment="CACHE_SQUID EXTERNO" \
    disabled=yes
    add chain=srcnat src-address=10.1.1.0/24 action=masquerade comment="masquerade \
    hotspot network" disabled=no
    add chain=dstnat protocol=tcp dst-port=222 action=dst-nat \
    to-addresses=192.168.254.2 to-ports=222 comment="nat firewall" \
    disabled=yes
    add chain=srcnat src-address=192.168.10.0/24 action=masquerade comment="range \
    individual clientes" disabled=no
    / ip firewall connection tracking
    set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
    tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
    tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \
    tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
    udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m \
    tcp-syncookie=no
    / ip firewall filter
    add chain=input in-interface=LINK protocol=tcp dst-port=3128 action=drop \
    comment="BLOQUEIO DO PROXY EXTERNO" disabled=no
    add chain=forward p2p=warez action=drop comment="quebra de criptografia" \
    disabled=no
    add chain=forward connection-mark=ares action=drop comment="" disabled=no
    add chain=forward p2p=fasttrack action=drop comment="" disabled=no
    add chain=forward p2p=gnutella action=drop comment="" disabled=no
    add chain=forward p2p=bit-torrent action=drop comment="" disabled=no
    add chain=forward p2p=blubster action=drop comment="" disabled=no
    add chain=forward p2p=edonkey action=drop comment="" disabled=no
    add chain=forward p2p=soulseek action=drop comment="" disabled=no
    add chain=forward p2p=winmx action=drop comment="" disabled=no
    add chain=forward p2p=direct-connect action=drop comment="" disabled=no
    add chain=forward connection-state=related action=accept comment="" \
    disabled=no
    add chain=forward connection-state=established action=accept comment="" \
    disabled=no
    add chain=forward protocol=icmp action=accept comment="" disabled=no
    add chain=input protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept \
    comment="" disabled=no
    add chain=forward protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 \
    action=accept comment="" disabled=no
    add chain=input protocol=icmp icmp-options=8:0 limit=1,5 action=accept \
    comment="" disabled=no
    add chain=forward protocol=icmp icmp-options=8:0 limit=1,5 action=accept \
    comment="" disabled=no
    add chain=input action=jump jump-target=virus comment="" disabled=no
    add chain=forward action=jump jump-target=drop_protocols comment="" \
    disabled=no
    add chain=forward action=log log-prefix="" comment="" disabled=no
    add chain=output protocol=tcp tcp-flags=fin,syn,rst,psh,ack action=log \
    log-prefix="" comment="" disabled=no
    add chain=forward action=jump jump-target=virus comment="jump to the virus \
    chain" disabled=no
    add chain=virus protocol=tcp dst-port=135-139 action=drop comment="" \
    disabled=no
    add chain=virus protocol=udp dst-port=135-139 action=drop comment="" \
    disabled=no
    add chain=virus protocol=tcp dst-port=445 action=drop comment="" disabled=no
    add chain=virus protocol=udp dst-port=445 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=593 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1080 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1214 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1363 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1364 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1368 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1373 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1377 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="" \
    disabled=no
    add chain=virus protocol=tcp dst-port=2283 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=2535 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=2745 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=3410 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=4444 action=drop comment="" disabled=no
    add chain=virus protocol=udp dst-port=4444 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=5554 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=8866 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=9898 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=10000 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=10080 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=12345 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=17300 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=27374 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=65506 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=27374 action=drop comment="SubSeven \
    Trojan" disabled=no
    add chain=forward connection-mark=ares action=drop comment="DROP_ARES" \
    disabled=no
    / ip firewall service-port
    set ftp ports=21 disabled=no
    set tftp ports=69 disabled=no
    set irc ports=6667 disabled=no
    set h323 disabled=no
    set quake3 disabled=no
    set gre disabled=no
    set pptp disabled=no

  14. #14

    Wink fireall

    Aqui eu deixo as minhas regras de firewall... grato jean msn [email protected]
    Arquivos Anexos Arquivos Anexos



  15. #15

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    As regras apresentadas no treinamento da MD não são de forma alguma consideradas completas. Elas são o ínício ou mínimo do que um bom firewall realmente precisa.
    Justamente... nunca disse q eram completas e absolutas... por isso a ideia de montar um bom firewall como inicio..

    Citação Postado originalmente por catvbrasil Ver Post
    Essa idéia de "o melhor" firewall ou "o mais completo" firewall é meio que uma utopia. O que pode acontecer é que alguma coisa chegue perto, mas perfeito mesmo, só feito na unha e de acordo com sua rede.
    Exatamente isso.. chegar perto... que tal se tentassemos isso juntos?

    Chegar perto eh exatamente do q precisamos aki...

    Citação Postado originalmente por catvbrasil Ver Post
    Usem os conceitos!!! Com conceitos nem é necessário compartilhar firewall ou regras.
    Bom.. te garanto q estou tentando... jah li muitos posts seus.. e de outros tantos aki.. e tento chegar numa especie de script quase-completo..

    um grande abraço

  16. #16

    Padrão entender

    acho que o importante é o cara entender, já fui em lugares e lá encontrar regras que eu pergunto para o cara para que serve e o cara diz: não sei copiei e colei, coisas que não tem nada a ver com a rede do dele, mais é pq o cara não sabe mesmo para que serve nunca estudou e as vezes tem até falta de coragem de fazer isso, esse que não que estudar sim merece é se ferrar, mais quando a gente ver que o mesmo quer saber, tem interesse, esse sim a gente tem até gosto de ajudar, pelo menos comigo é assim pois lembro como foi pra mim aprender....



  17. #17

    Padrão

    Citação Postado originalmente por pedrovigia Ver Post
    acho que o importante é o cara entender, já fui em lugares e lá encontrar regras que eu pergunto para o cara para que serve e o cara diz: não sei copiei e colei, coisas que não tem nada a ver com a rede do dele, mais é pq o cara não sabe mesmo para que serve nunca estudou e as vezes tem até falta de coragem de fazer isso, esse que não que estudar sim merece é se ferrar, mais quando a gente ver que o mesmo quer saber, tem interesse, esse sim a gente tem até gosto de ajudar, pelo menos comigo é assim pois lembro como foi pra mim aprender....
    Grande Observador....

    Eh exatamente isso... eu gosto de ler.. aprender.. e disseminar.. pelo menos qd eu entendo...

    o q estou propondo seria isso.. um script firewall completo.. e tb comentado.. claro q tem regras q soh precisa um simples comentario.. como por exemplo.. as regras de virus... ueh... a regra eh asism pq?? pq o virus utiliza determinada porta para se disseminar.. entao.. se nós bloqueamos a porta.. aparentemente bloqueia-se o vírus... blz... e como faço pra evitar o trafego inutil em minha rede?? e se eu quiser evitar um port scan??

    bom.. se tivessesmos um bom firewall de inicio.. jah seria meio caminho andado pra muita gente... aquelas pessoas q gostam de ler e aprender..

    agora se o cara.. pega um exemplo do q postamos aki.. aih nao dah certo.. e depois.. fica zoando.. perguntando.. aih não.. vai estudar cara...

    mas se todo mundo contribuir com uma ideia de firewall.. logo, logo, teremos opções para analisar e fazer o nosso proprio...

    nao eh copiar e colar.. eh copiar.. ler.. entender.. filtrar.. adaptar.. e colar...

    pelo menos eh assim q eu faço...

    um grande abraço

  18. #18

    Padrão Acompanhando

    To começando a estudar firewall, achei otimo essa iniciativa, assim q puder, estarei tambem colaborando nesse post.



  19. #19

    Padrão

    Vou colaborar com o melhor firewall:

    As 3 ÚLTIMAS regras:

    chain=input action=drop
    chain=forward action=drop
    chain=output action=drop

  20. #20

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Vou colaborar com o melhor firewall:

    As 3 ÚLTIMAS regras:

    chain=input action=drop
    chain=forward action=drop
    chain=output action=drop

    ???

    GRande Circuito Aberto de TV (CATV)...,

    Eu tenho muito apreço por vc... grande material q uso possuem creditos seus...

    obrigado!