+ Responder ao Tópico



  1. Citação Postado originalmente por catvbrasil Ver Post
    Vixe!!!

    Ai CATV, sou seu fã e coloco de forma detalhada de baixo para cima que é para vc me corrigir! Faça-o sem dó! rsss!!!! Vc tem razão as regras dinâmicas do hotspot NÃO SÃO PERFEITAS!!!! peguei um erro básico do pessoal da mikrotik aqui!!!

    Vc quis dizer que no mikrotik o firewall é dividido em partes mas funciona tudo junto né? como as rodas, o motor, etc... são partes diferentes do carro, mas para este ser carro tem que funfar tudo junto... será que tô tudo errado aqui, aqui entendi que ele é separado da seguinte forma:
    alguém postou sobre o firewall...
    ______________________________________________________________________________________________________________
    Basicamente o obrigatório é a regra de NAT (no manual passo-a-passo). O firewall é uma coisa personalizada e normalmente é confeccionado de acordo com a rede e com os problemas alheios que podem vir a aparecer. Basicamente, aconselho na aba "filter" que você insira os procedimentos para limitar conecções simultânes (manual passo-a-passo) e as regras de controle de P2P no mangle do firewall (manual passo-a-passo). O resto é complemento e pode ser confeccionado de acordo com as necessidades...
    PS: Cuidado com regras aparentemente sem nexo. O firewall é uma faca de dois gumes e pode ser uma função maravilhosa, como pode ser também um terror mal configurado.
    FIREWALL (ABAS)
    FILTER = Nesta aba você cria basicamente regras de entrada, saida e internas. Regras basicas de bloqueio ou liberação são feitas aqui.
    NAT = Esta parte do firewall você realiza redirecionamentos em geral.
    MANGLE = Nesta parte do firewall que você faz marcações de pacotes e reencaminhamentos. Aqui você marca pacotes, protocolos, portas e quase tudo. Você também pode enviar estes pacotes para várias partes do MK.
    SERVICE PORTS = Aqui mostra todas as portas e protocolos padrões habilitados no MK.
    CONNECTIONS = Log de conexões, com portas, ips, protocolos, marcações de pacotes e também tempo e estatus da conexão.
    ADDRESS LIST = Mostra todos os ips enviados para listas. Para funcionar deve ser configurado em uma das abas (filter, nat ou mangle). Serve para armazenar em listas, relatórios específicos. Exemplo: Pode-se mandar entrar em uma lista específica, pacotes de virus específicos, para posterior análize. Entre outras funções.
    Acima: Eu mesmo. Não retirado de nenhum lugar. Retirado, bem resumido do proximo livro (MK).
    ______________________________________________________________________________________________________________
    Ops, acho que é vc quem postou acima...rsss... Inclusive parece que tem até uma determinada ordem de execução de cada parte do firewall, tipo o primeiro a ser executado no firewall é o MANGLE, depois....

    ...a perfeição para mim é uma coisa eficaz, útil para maioria e que dá certo, antítese tipo: não existe nada mais ineficaz que fazer eficientemente aquilo que não precisava ser feito... rsss... então não existe firewall perfeito para todas as aplicações, existe sim o papo de advogado: - DEPENDE...

    as regras dinâmicas do hotspot deveriam ser perfeitas pois são as básicas necessárias, e estritamente necessárias para o funcionamento do hotspot, se analizarmos vemos que elas aparecem no firewall em Filter e em NAT.

    EM UMA CONFIGURAÇÃO SIMPLES DO HOTSPOT O MIKROTIK ESTABELECE AS DINÂMICAS:
    No NAT a primeira jump os canais dstnat para hotspot, a segunda jump o canal hotspot para pre-hotspot, ai vem redirecionamento de portas de DNS / http... para as portas 64872-64875, depois ele pega o canal hotspot e separa quem fez a autenticação correta e quem não e coloca nos targets hs-auth e hs-unauth em seguida redireciona as portas hs-unauth,

    ai tem uma dinâmica:

    add chain=hs-unauth protocol=tcp dst-port=3128 action=redirect to-ports=64874 comment="" disabled=no

    PEGADINHA! CUIDADO POIS SE USAR O WEB-PROXY EM OUTRA PORTA ELE NÃO MUDA!! MESMO SET NO PROFILE DO SERVER DO HOTSPOT OUTRA PORTA AQUI CONTINUA A 3128... SOLUÇÃO MINHA: criei uma regra nova identica com a porta correta do web-proxy e coloquei no meio das dinâmicas.

    e depois jump este último com a porta 25 para hs-smtp, redireciona hs-auth para a porta do hotspot e jump a porta 25 para hs-smtp também.

    No Filter o "mikrotik dinâmico" jump os canais foward não autenticados p/ hs-unauth e http p/ hs-unauth-to dai ele jump o input p/ hs-input, como não tem configurações extras no meio ele jump o hs-input p/ pre-hs-input aceita as portas e o hs-input e jump o último sem autenticação do cliente p/ p/ hs-unauth denovo. rejeita o resto com hs-unauth e com o canal hs-unauth-to caso a caso.

    ...peguei hoje aqui um cliente cadastrado no hotspot com MAC e IP no ip binding que não se autenticou trafegando, ip e mac corretos na rede, porem na ABA hosts do Hotspot o rapaz estava sem o A: Login user e senha e mesmo assim estava trafegando... monitorei e verifiquei uma conexão pptp dele (não usamos pptp aqui porem o serviço está habilitado no firewall SERVICE PORTS), derrubei a conexão pptp dele e ele continuou trafegando em outras portas (1000-3900 não lembro exatamente), derrubei ele no Hosts do Hotspot, e ele voltou trafegando, fui na router e desconectei ele, dei 5 min. e reconectei, e ele voltou trafegando sem autenticação??? peguei os ips source de conexão dele e apareceu o aviso de malware??? que raio de programa vaza o hotspot do mikrotik, como se prevenir?

    Alguém já viu isto?

    Aproveitando a deixa alguém já monitorou ultimamente ou tem informação de conexões com vírus recentes ou algum novo gerenciador de download novo, aonde posso atualizar informação destes para proteção e uso no firewall do mikrotik?

    DESCULPEM AS BRINCADEIRAS! ABS.

  2. Citação Postado originalmente por catvbrasil Ver Post

    O firewall realmente é um só, mas no Mk ele é dividido em 3 partes independentes.
    Concordo e por isto sou seu fã! São 3 abas distintas para 3 tipos de ações diferentes, porém não consigo analizar o Filter do Raulzito sem ver que pacote ele está marcando no Mangle ou que target ele colocou no Nat, ou que porta ele está redirecionando no Nat para bloquear o acesso externo e permitir o interno no Filter, caso do web-proxy, etc, etc, etc, etc, etc, etc, etc...

    Então Raulzito, como eu e o CATV sugerimos, posta tudo aí pois o "Diabo mora nos detalhes" e em roteamento e redes as falhas geralmente estão no óbvio! Incrível mas a perfeição também está no óbvio!

    O Rapaz voltou hoje e está denovo trafegando sem fazer o Login, olha aí o caso a caso:

    Está com conexões como source and. no TCP portas 3183 - dst 174.36.206.198:8692 / 3361 dst 74.125.91.100:80 / 3363 dst 222.186.13.27:80 / 3390 dst 222.186.13.27:80 e uma conexão provavel DNS da porta 1050 p/ dst porta 53 do servidor mikrotik que está com o servidor DNS habilitado e fazendo cache.

    alguém já monitorou isto?

    Abraços.



  3. Citação Postado originalmente por catvbrasil Ver Post
    Vou colaborar com o melhor firewall:

    As 3 ÚLTIMAS regras:

    chain=input action=drop
    chain=forward action=drop
    chain=output action=drop
    Pessoal, por mais incrível e estranho que vocês possam achar o ''filho da mãe'' do CATV está certo, talvez de todas essas regras colocadas aqui de firewall a três (ultimas dele) foram as melhores, não entenderam não é?...Vou explicar o que ele quiz dizer...

    Essas 3 regras no final do firewall que o CATV cita é que ''ele'' libera tudo que é importante para uma determinada rede, aceita os protocolos principais e o resto ele dropa tudo, isso sim que seria ou é, um firewall ideal...agora quem simplesmente colocar essa regra em seu firewall sem que antes delas (respeitando a hierarquia do firewall) existam outras regras que liberem o que seja necessário, vai ficar um M...só.

    Acho que compreenderam e espero o comentário dele mesmo aqui...

  4. Olá essa regra faz o que exatamente?

    add chain=prerouting content=youtube action=mark-connection \
    new-connection-mark=YTB passthrough=yes comment="YOUTUBE" disabled=no
    add chain=prerouting connection-mark=YTB action=mark-packet \
    new-packet-mark=youtube passthrough=yes comment="" disabled=no
    add chain=prerouting connection-mark=YTB action=mark-routing \
    new-routing-mark=YTB passthrough=no comment="" disabled=no



  5. Marca os pacotes do mangle provenientes do ''youtube'' pelo ''content'', e a terceira regra determina que os vídeos do youtube saiam por um gateway pré- determinado.






Tópicos Similares

  1. script firewall 02 links!!
    Por jrctec no fórum Servidores de Rede
    Respostas: 34
    Último Post: 30-05-2005, 10:10
  2. Script Firewall
    Por Kandango no fórum Servidores de Rede
    Respostas: 2
    Último Post: 10-10-2004, 12:31
  3. Rodar script firewall.sh na inicialização do sistema.
    Por goncalvesanderson no fórum Servidores de Rede
    Respostas: 5
    Último Post: 13-07-2004, 14:59
  4. Erro no script Firewall
    Por danielvbhp no fórum Servidores de Rede
    Respostas: 5
    Último Post: 01-02-2004, 09:33
  5. Vejam esse script firewall/nat, aonde tá o erro?
    Por no fórum Servidores de Rede
    Respostas: 5
    Último Post: 02-11-2002, 21:47

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L