Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21

    Talking SIM SENHOR! NÃO É PERFEITO!

    Citação Postado originalmente por catvbrasil Ver Post
    Vixe!!!

    Ai CATV, sou seu fã e coloco de forma detalhada de baixo para cima que é para vc me corrigir! Faça-o sem dó! rsss!!!! Vc tem razão as regras dinâmicas do hotspot NÃO SÃO PERFEITAS!!!! peguei um erro básico do pessoal da mikrotik aqui!!!

    Vc quis dizer que no mikrotik o firewall é dividido em partes mas funciona tudo junto né? como as rodas, o motor, etc... são partes diferentes do carro, mas para este ser carro tem que funfar tudo junto... será que tô tudo errado aqui, aqui entendi que ele é separado da seguinte forma:
    alguém postou sobre o firewall...
    ______________________________________________________________________________________________________________
    Basicamente o obrigatório é a regra de NAT (no manual passo-a-passo). O firewall é uma coisa personalizada e normalmente é confeccionado de acordo com a rede e com os problemas alheios que podem vir a aparecer. Basicamente, aconselho na aba "filter" que você insira os procedimentos para limitar conecções simultânes (manual passo-a-passo) e as regras de controle de P2P no mangle do firewall (manual passo-a-passo). O resto é complemento e pode ser confeccionado de acordo com as necessidades...
    PS: Cuidado com regras aparentemente sem nexo. O firewall é uma faca de dois gumes e pode ser uma função maravilhosa, como pode ser também um terror mal configurado.
    FIREWALL (ABAS)
    FILTER = Nesta aba você cria basicamente regras de entrada, saida e internas. Regras basicas de bloqueio ou liberação são feitas aqui.
    NAT = Esta parte do firewall você realiza redirecionamentos em geral.
    MANGLE = Nesta parte do firewall que você faz marcações de pacotes e reencaminhamentos. Aqui você marca pacotes, protocolos, portas e quase tudo. Você também pode enviar estes pacotes para várias partes do MK.
    SERVICE PORTS = Aqui mostra todas as portas e protocolos padrões habilitados no MK.
    CONNECTIONS = Log de conexões, com portas, ips, protocolos, marcações de pacotes e também tempo e estatus da conexão.
    ADDRESS LIST = Mostra todos os ips enviados para listas. Para funcionar deve ser configurado em uma das abas (filter, nat ou mangle). Serve para armazenar em listas, relatórios específicos. Exemplo: Pode-se mandar entrar em uma lista específica, pacotes de virus específicos, para posterior análize. Entre outras funções.
    Acima: Eu mesmo. Não retirado de nenhum lugar. Retirado, bem resumido do proximo livro (MK).
    ______________________________________________________________________________________________________________
    Ops, acho que é vc quem postou acima...rsss... Inclusive parece que tem até uma determinada ordem de execução de cada parte do firewall, tipo o primeiro a ser executado no firewall é o MANGLE, depois....

    ...a perfeição para mim é uma coisa eficaz, útil para maioria e que dá certo, antítese tipo: não existe nada mais ineficaz que fazer eficientemente aquilo que não precisava ser feito... rsss... então não existe firewall perfeito para todas as aplicações, existe sim o papo de advogado: - DEPENDE...

    as regras dinâmicas do hotspot deveriam ser perfeitas pois são as básicas necessárias, e estritamente necessárias para o funcionamento do hotspot, se analizarmos vemos que elas aparecem no firewall em Filter e em NAT.

    EM UMA CONFIGURAÇÃO SIMPLES DO HOTSPOT O MIKROTIK ESTABELECE AS DINÂMICAS:
    No NAT a primeira jump os canais dstnat para hotspot, a segunda jump o canal hotspot para pre-hotspot, ai vem redirecionamento de portas de DNS / http... para as portas 64872-64875, depois ele pega o canal hotspot e separa quem fez a autenticação correta e quem não e coloca nos targets hs-auth e hs-unauth em seguida redireciona as portas hs-unauth,

    ai tem uma dinâmica:

    add chain=hs-unauth protocol=tcp dst-port=3128 action=redirect to-ports=64874 comment="" disabled=no

    PEGADINHA! CUIDADO POIS SE USAR O WEB-PROXY EM OUTRA PORTA ELE NÃO MUDA!! MESMO SET NO PROFILE DO SERVER DO HOTSPOT OUTRA PORTA AQUI CONTINUA A 3128... SOLUÇÃO MINHA: criei uma regra nova identica com a porta correta do web-proxy e coloquei no meio das dinâmicas.

    e depois jump este último com a porta 25 para hs-smtp, redireciona hs-auth para a porta do hotspot e jump a porta 25 para hs-smtp também.

    No Filter o "mikrotik dinâmico" jump os canais foward não autenticados p/ hs-unauth e http p/ hs-unauth-to dai ele jump o input p/ hs-input, como não tem configurações extras no meio ele jump o hs-input p/ pre-hs-input aceita as portas e o hs-input e jump o último sem autenticação do cliente p/ p/ hs-unauth denovo. rejeita o resto com hs-unauth e com o canal hs-unauth-to caso a caso.

    ...peguei hoje aqui um cliente cadastrado no hotspot com MAC e IP no ip binding que não se autenticou trafegando, ip e mac corretos na rede, porem na ABA hosts do Hotspot o rapaz estava sem o A: Login user e senha e mesmo assim estava trafegando... monitorei e verifiquei uma conexão pptp dele (não usamos pptp aqui porem o serviço está habilitado no firewall SERVICE PORTS), derrubei a conexão pptp dele e ele continuou trafegando em outras portas (1000-3900 não lembro exatamente), derrubei ele no Hosts do Hotspot, e ele voltou trafegando, fui na router e desconectei ele, dei 5 min. e reconectei, e ele voltou trafegando sem autenticação??? peguei os ips source de conexão dele e apareceu o aviso de malware??? que raio de programa vaza o hotspot do mikrotik, como se prevenir?

    Alguém já viu isto?

    Aproveitando a deixa alguém já monitorou ultimamente ou tem informação de conexões com vírus recentes ou algum novo gerenciador de download novo, aonde posso atualizar informação destes para proteção e uso no firewall do mikrotik?

    DESCULPEM AS BRINCADEIRAS! ABS.

  2. #22

    Exclamation É isto aí, falou tudo.

    Citação Postado originalmente por catvbrasil Ver Post

    O firewall realmente é um só, mas no Mk ele é dividido em 3 partes independentes.
    Concordo e por isto sou seu fã! São 3 abas distintas para 3 tipos de ações diferentes, porém não consigo analizar o Filter do Raulzito sem ver que pacote ele está marcando no Mangle ou que target ele colocou no Nat, ou que porta ele está redirecionando no Nat para bloquear o acesso externo e permitir o interno no Filter, caso do web-proxy, etc, etc, etc, etc, etc, etc, etc...

    Então Raulzito, como eu e o CATV sugerimos, posta tudo aí pois o "Diabo mora nos detalhes" e em roteamento e redes as falhas geralmente estão no óbvio! Incrível mas a perfeição também está no óbvio!

    O Rapaz voltou hoje e está denovo trafegando sem fazer o Login, olha aí o caso a caso:

    Está com conexões como source and. no TCP portas 3183 - dst 174.36.206.198:8692 / 3361 dst 74.125.91.100:80 / 3363 dst 222.186.13.27:80 / 3390 dst 222.186.13.27:80 e uma conexão provavel DNS da porta 1050 p/ dst porta 53 do servidor mikrotik que está com o servidor DNS habilitado e fazendo cache.

    alguém já monitorou isto?

    Abraços.



  3. #23

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Vou colaborar com o melhor firewall:

    As 3 ÚLTIMAS regras:

    chain=input action=drop
    chain=forward action=drop
    chain=output action=drop
    Pessoal, por mais incrível e estranho que vocês possam achar o ''filho da mãe'' do CATV está certo, talvez de todas essas regras colocadas aqui de firewall a três (ultimas dele) foram as melhores, não entenderam não é?...Vou explicar o que ele quiz dizer...

    Essas 3 regras no final do firewall que o CATV cita é que ''ele'' libera tudo que é importante para uma determinada rede, aceita os protocolos principais e o resto ele dropa tudo, isso sim que seria ou é, um firewall ideal...agora quem simplesmente colocar essa regra em seu firewall sem que antes delas (respeitando a hierarquia do firewall) existam outras regras que liberem o que seja necessário, vai ficar um M...só.

    Acho que compreenderam e espero o comentário dele mesmo aqui...

  4. #24
    Avatar de angelangra
    Ingresso
    Jul 2007
    Localização
    Angra dos Reis, Rio de Janeiro, Brazil, Brazil
    Posts
    368

    Padrão

    Olá essa regra faz o que exatamente?

    add chain=prerouting content=youtube action=mark-connection \
    new-connection-mark=YTB passthrough=yes comment="YOUTUBE" disabled=no
    add chain=prerouting connection-mark=YTB action=mark-packet \
    new-packet-mark=youtube passthrough=yes comment="" disabled=no
    add chain=prerouting connection-mark=YTB action=mark-routing \
    new-routing-mark=YTB passthrough=no comment="" disabled=no



  5. #25

    Padrão

    Marca os pacotes do mangle provenientes do ''youtube'' pelo ''content'', e a terceira regra determina que os vídeos do youtube saiam por um gateway pré- determinado.

  6. #26

    Padrão

    Amigos, ter um super firewall completo como já foi citado e muito complicado e sem dúvida a melho solução é construir um firewall respeitando as caracteristicas especificas de cada ambiente. Mas ao meu ver manter uma lista sempre atualizada com regras de proposito geral e que são necessárias a qualquer ambiente, eu não vejo qual o problema como exemplo segue as regras abaixo já postadas aqui anteriormente.

    add action=drop chain=VIRUS comment="ndm server" disabled=yes dst-port=1364 \
    protocol=tcp
    add action=drop chain=VIRUS comment="screen cast" disabled=yes dst-port=1368 \
    protocol=tcp
    add action=drop chain=VIRUS comment=hromgrafx disabled=yes dst-port=1373 \
    protocol=tcp
    add action=drop chain=VIRUS comment=cichlid disabled=yes dst-port=1377 \
    protocol=tcp

    Regras de bloqueio de virus conhecidos, portas de trojans e outras pragas de rede já conhecidas que ao meu ver são de proposito geral e praticamente qualquer um gostaria de eliminar da sua rede eu entendo como sendo normas de boas práticas, pricipalmente para quem não tem tanto conhecimento teórico mas gostaria de manter um minímo se sanidade na sua rede sem prejudicar a si mesmo nem aos outros.



  7. #27

    Padrão

    Citação Postado originalmente por Roberto21 Ver Post
    Pessoal, por mais incrível e estranho que vocês possam achar o ''filho da mãe'' do CATV está certo, talvez de todas essas regras colocadas aqui de firewall a três (ultimas dele) foram as melhores, não entenderam não é?...Vou explicar o que ele quiz dizer...

    Essas 3 regras no final do firewall que o CATV cita é que ''ele'' libera tudo que é importante para uma determinada rede, aceita os protocolos principais e o resto ele dropa tudo, isso sim que seria ou é, um firewall ideal...agora quem simplesmente colocar essa regra em seu firewall sem que antes delas (respeitando a hierarquia do firewall) existam outras regras que liberem o que seja necessário, vai ficar um M...só.

    Acho que compreenderam e espero o comentário dele mesmo aqui...
    Perspectiva interessante a do amigo.. não tinha visto por este ângulo... Assim sendo, peço minhas desculpas ao amigo Circuito Aberto de TV...

    um grande abraço a todos,

  8. #28

    Padrão pra quer serve?

    para que serve essas tres regras

    As 3 ÚLTIMAS regras:

    chain=input action=drop
    chain=forward action=drop
    chain=output action=drop[/QUOTE]



  9. #29

    Padrão firewall

    Citação Postado originalmente por catvbrasil Ver Post
    Vixe!!!

    O firewall realmente é um só, mas no Mk ele é dividido em 3 partes independentes.

    O filter (filtro) trabalha basicamente como proteção primária da rede. Nele de forma básica é utilizado para aceitar ou negar pacotes. (ponto)

    O NAT é onde realizado o NAT mesmo, bem como os redirecionamentos baseados na origem ou no destino dos pacotes.

    O Mangle é um marcador de pacotes. Nele podemos alterar algumas caracteristicas dos pacotes como mms, mmu, ttl e etc.

    As service ports são auxiliares do nat que serve basicamente para compatibilizar alguns protocolos e serviços com o nat.

    O connection tracking mostra os estados de todas as conexões e só é disponível quando o firewall opera em "state full"

    O address-list do firewall, basicamente serve para criar listas com ips (baseado em endereços de origem / destino)

    Layer7 está relacionada a regex do protocolo 7. Serve para criar combinações de regras em outras partes.

    Veja que é bem simples o firewall e todas e cada função funciona independente uma da outra. Afirmar que filter só funciona com nat ou mangle ou vice-versa está errado. O que podemos afirmar é que dependendo do que você usa, provavelmente irá depender das abas auxiliares. Exemplo, podemos criar uma regra na aba filter do firewall, utilizando uma regex colocada na aba layer7 do firewall (nesse caso um dependerá do outro).

    Lembrado que de nada serve as marcações colocadas no mangle caso não estejam sendo utilizadas em outros cantos (assim como as regex do layer7 e as listas da address-list).

    PS: Regras dinâmicas não são consideradas perfeitas, mas sim necessárias. As regras do hotspot aparecem dinâmicamente quando configurado o hotspot, para facilitar a vida de quem configura. Isso foi implementado pela Mikrotik visando facilitar as configurações, pois imagina você ter que configurar cada uma daquelas regras manualmente para habilitar o hotspot. Muitos teriam problemas...
    ola, em se falando em firewall nao consigo redirecionar ip do cliente para pagina de bloqueio, nao uso hotspot, nao tenho servidor proxy, em uma maquina na rede configurei um servidor web com apache e coloquei minha pagina de bloqueio, quando aplico as regras de ip/firewall/nat, até bloqueia o cliente mas a pagina de bloqueio nao aparece, mas se la no cliente eu digito o ip da maquina onde ta a pagina de bloqueio a pagina aparece. gostaria de ajuda nesse problema, o q faço?

  10. #30

    Padrão

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="REDIRECIONA CLIENTES DEBITO-AVISO" disabled=no \
    protocol=tcp src-address=192.168.10.222 to-addresses=\
    192.168.10.232 to-ports=8888

    Onde em azul, é o IP do devedor lazarento
    Em vermelho, é o ip e porta do servidor

    TESTADO E FUNFANDO!!!



  11. #31

    Padrão

    aqui vai o meu, foi um maluko aqui de juazeiro-ba que configurou, pra minha rede ta funcionando blz.

    ñ esquece de agradecer.

    /ip firewall filter
    add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
    add action=drop chain=input comment="Bloqueia Proxy" disabled=no dst-port=\
    3128 in-interface=velox- protocol=tcp
    add action=drop chain=input comment="Descarta invalidas" connection-state=\
    invalid disabled=no
    add action=add-src-to-address-list address-list=temp1 address-list-timeout=\
    10s chain=input comment="" disabled=no dst-port= protocol=tcp
    add action=add-src-to-address-list address-list=temp2 address-list-timeout=\
    10s chain=input comment="" disabled=no dst-port= protocol=tcp \
    src-address-list=temp1
    add action=add-src-to-address-list address-list=liberado \
    address-list-timeout=2h chain=input comment="" disabled=no dst-port=\
    protocol=tcp src-address-list=temp2
    add action=accept chain=input comment="Aceita winbox da lista liberado" \
    disabled=no dst-port=8291 protocol=tcp src-address-list=liberado
    add action=drop chain=input comment="nega acesso winbox" disabled=no \
    dst-port=8291 protocol=tcp
    add action=accept chain=input comment="Aceita ftp" disabled=no dst-port=21 \
    protocol=tcp src-address-list=liberado
    add action=add-src-to-address-list address-list=bloqueado \
    address-list-timeout=1d chain=input comment="" disabled=no dst-port=21 \
    protocol=tcp
    add action=drop chain=input comment="" disabled=no dst-port=21 protocol=tcp
    add action=accept chain=input comment="Aceita SSH" disabled=no dst-port=4142 \
    protocol=tcp src-address-list=liberado
    add action=add-src-to-address-list address-list=bloqueado \
    address-list-timeout=1d chain=input comment="" disabled=no dst-port=22 \
    protocol=tcp
    add action=drop chain=input comment="" disabled=no dst-port=22 protocol=tcp \
    src-address-list=bloqueado-por-SSH
    add action=accept chain=input comment="Aceita telnet" disabled=no dst-port=23 \
    protocol=tcp src-address-list=liberado
    add action=add-src-to-address-list address-list=bloqueado \
    address-list-timeout=1d chain=input comment="" disabled=no dst-port=23 \
    protocol=tcp
    add action=drop chain=input comment="" disabled=no dst-port=23 protocol=tcp \
    src-address-list=bloqueado-por-SSH
    add action=drop chain=input comment="Log quem Pinga" disabled=no limit=0/0s,0 \
    protocol=icmp
    add action=drop chain=input comment="aceitando 1 ping a cada 5 segundos" \
    disabled=no limit=1/5s,1 protocol=icmp
    add action=drop chain=input comment="bloqueando o excesso" disabled=no \
    protocol=icmp
    add action=jump chain=input comment="Salta para canal icmp" disabled=no \
    jump-target=ICMP protocol=icmp
    add action=jump chain=input comment="Salta para o canal virus" disabled=no \
    jump-target=VIRUS
    add action=accept chain=input comment="Aceita estabelecidas" \
    connection-state=established disabled=no
    add action=accept chain=input comment="Aceita relacionadas" connection-state=\
    related disabled=no
    add action=accept chain=input comment="Aceita redes internas" disabled=no \
    in-interface=bridge1
    add action=accept chain=input comment="Aceita winbox Externo" disabled=no \
    dst-port=8291 in-interface=ether2 protocol=tcp
    add action=drop chain=forward comment="Descarta Invalidas" connection-state=\
    invalid disabled=no
    add action=drop chain=forward comment="" disabled=no src-address-list=\
    bloqueado
    add action=jump chain=forward comment="Salta para canal icmp" disabled=no \
    jump-target=ICMP
    add action=jump chain=forward comment="Salta para o canal virus" disabled=no \
    jump-target=VIRUS
    add action=drop chain=VIRUS comment="Drop Blaster Worm" disabled=no protocol=\
    udp src-port=445
    add action=accept chain=forward comment="Aceita estabelecidas" \
    connection-state=established disabled=no
    add action=accept chain=forward comment="Aceita relacionadas" \
    connection-state=related disabled=no
    add action=drop chain=VIRUS comment="" disabled=no protocol=tcp src-port=445
    add action=drop chain=VIRUS comment="" disabled=no dst-port=445 protocol=tcp
    add action=drop chain=VIRUS comment="Drop Blaster Worm" disabled=no dst-port=\
    445 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=no protocol=tcp src-port=\
    135-139
    add action=drop chain=VIRUS comment="" disabled=no protocol=udp src-port=\
    135-139
    add action=drop chain=VIRUS comment="" disabled=no dst-port=135-139 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=135-139 protocol=\
    udp
    add action=drop chain=VIRUS comment=________ disabled=no dst-port=593 \
    protocol=tcp
    add action=drop chain=VIRUS comment=________ disabled=no dst-port=1024-1030 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop MyDoom" disabled=no dst-port=1080 \
    protocol=tcp
    add action=drop chain=VIRUS comment=________ disabled=no dst-port=1214 \
    protocol=tcp
    add action=drop chain=VIRUS comment="ndm requester" disabled=no dst-port=1363 \
    protocol=tcp
    add action=drop chain=VIRUS comment="ndm server" disabled=no dst-port=1364 \
    protocol=tcp
    add action=drop chain=VIRUS comment="screen cast" disabled=no dst-port=1368 \
    protocol=tcp
    add action=drop chain=VIRUS comment=hromgrafx disabled=no dst-port=1373 \
    protocol=tcp
    add action=drop chain=VIRUS comment=cichlid disabled=no dst-port=1377 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Bagle VIRUS" disabled=no dst-port=2745 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Dumaru.Y" disabled=no dst-port=2283 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Beagle" disabled=no dst-port=2535 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Beagle.C-K" disabled=no dst-port=\
    2745 protocol=tcp
    add action=drop chain=VIRUS comment="Drop MyDoom" disabled=no dst-port=3127 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Backdoor OptixPro" disabled=no \
    dst-port=3410 protocol=tcp
    add action=drop chain=VIRUS comment=Worm disabled=no dst-port=4444 protocol=\
    tcp
    add action=drop chain=VIRUS comment=Worm disabled=no dst-port=4444 protocol=\
    udp
    add action=drop chain=VIRUS comment="Drop Sasser" disabled=no dst-port=5554 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Beagle.B" disabled=no dst-port=8866 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Dabber.A-B" disabled=no dst-port=\
    9898 protocol=tcp
    add action=drop chain=VIRUS comment="Drop Dumaru.Y" disabled=no dst-port=\
    10000 protocol=tcp
    add action=drop chain=VIRUS comment="Drop MyDoom.B" disabled=no dst-port=\
    10080 protocol=tcp
    add action=drop chain=VIRUS comment="Drop NetBus" disabled=no dst-port=12345 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Kuang2" disabled=no dst-port=17300 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop SubSeven" disabled=no dst-port=\
    27374 protocol=tcp
    add action=drop chain=VIRUS comment="Drop PhatBot, Agobot, Gaobot" disabled=\
    no dst-port=65506 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=513 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=513 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=525 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=525 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=568-569 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=568-569 protocol=\
    udp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=1512 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=1512 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=396 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=396 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=1366 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=1366 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=1416 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=1416 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=201-209 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=201-209 protocol=\
    udp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=545 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=545 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=1381 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=1381 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=3031 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=no dst-port=3031 protocol=udp
    add action=accept chain=ICMP comment="" disabled=no icmp-options=0:0 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=no icmp-options=8:0 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=no icmp-options=11:0 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=no icmp-options=3:3 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=no icmp-options=3:4 \
    protocol=icmp
    add action=drop chain=ICMP comment="" disabled=no protocol=icmp
    add action=drop chain=input comment="Descarta Restante" disabled=yes
    add action=drop chain=input comment="" disabled=yes dst-address=10.0.0.254 \
    dst-port=3128 in-interface="(unknown)" protocol=tcp
    Última edição por kasatek; 11-08-2009 às 19:45.

  12. #32

    Padrão

    Bom talvez alguem aqui poderia me dizer uma coisa que esta dificeil de eu conseguir me localizar no firewall do mikrotik , bom ja testei varias regras e quase todas deram alguma dor de cabeça , pois usei o velho cvtrl+c ctrl+v , bom ja passei desta face e quero crescer e aprender,bom minha pergunta ,



    so tenho que saber uma coisa o principal , coloco a parte de liberação no inicio do firewall ou no fim exmplos



    bloqueo varios portas tcp com drop e na ultima linha coloco para liberar o resto , ou isso é vice versa



    coloco primeiro liberar e depois drop o resto


    ja olhei milhoes de post e nao consegui acimilar o fulcoinamento de forma clara .



  13. #33

    Padrão

    amigo é o seguinte, primeiro libera tudo o que voce quer depois dropa tudo no final. Isso tanto faz no mikrotik como no velho iptables no linux.

  14. #34

    Padrão

    Citação Postado originalmente por eugeniomarques Ver Post
    Amigos... o q vou propor nao sei se já não tem.. pelo menos não achei..

    poderíamos deixar um post fixo aki com um script de firewall completo.. para quem queira somente copiar e colar?

    Digo isso pq eu uso o script do curso q fiz com os malukos da Mikrotik Brasil (S, E e M) e com eles trouxe um firewall completo.. com os drops das invalidas... accepts nas relacionadas e estabelicidas... bate bate bate na porta do céu... bloqueio de atakes ssh, virus... etc... etc...

    com tudo isso pronto... eu achei q tinha tudo.. mas conversando com outro maluko.. (esse eh maluko mesmo...) ele disse q meu firewall ainda tah muito incompleto... faltava muita coisa... e ele ateh se propôs.. a completar ele semana q vem... Eh um maluko beleza.. Tb gosta de contribuir... gente boa..

    enquanto isso na sala da justiça...

    Macacos me mordam Batman.. como podemos fazer um script completo e disponibilizar para todo mundo?

    Simples.. vamos até a comunidade Underlinux, Robin!

    bom...

    vou postar o script com as regras desabilitadas.. pq cada caso eh um caso...

    mas meu intuito aki eh chegar a um único firewall, completo e funcional para todos.

    então por favor.. contribuam..

    Detalhe: meu firewall nao eh meu como falei.. copiei do curso e adicionei outras coisas q achei aki mesmo no forum.

    gracias a todos,



    /ip firewall filter
    add action=drop chain=input comment="Descarta invalidas" connection-state=\
    invalid disabled=yes
    add action=add-src-to-address-list address-list=temp1 address-list-timeout=\
    15s chain=input comment="" disabled=yes dst-port=1111 protocol=tcp
    add action=add-src-to-address-list address-list=temp2 address-list-timeout=\
    15s chain=input comment="" disabled=yes dst-port=2222 protocol=tcp \
    src-address-list=temp1
    add action=add-src-to-address-list address-list=liberado \
    address-list-timeout=2h chain=input comment="" disabled=yes dst-port=3333 \
    protocol=tcp src-address-list=temp2
    add action=add-src-to-address-list address-list=bloqueado-por-SSH \
    address-list-timeout=1d chain=input comment="" disabled=yes dst-port=22 \
    protocol=tcp src-address=!10.0.0.200
    add action=add-src-to-address-list address-list=bloqueado-por-telnet \
    address-list-timeout=1d chain=input comment="" disabled=yes dst-port=23 \
    protocol=tcp src-address=!10.0.0.200
    add action=accept chain=input comment="Aceita winbox da lista liberado" \
    disabled=yes dst-port=8291 protocol=tcp src-address-list=liberado
    add action=drop chain=input comment="nega acesso winbox" disabled=yes \
    dst-port=8291 protocol=tcp
    add action=jump chain=input comment="Salta para canal icmp" disabled=yes \
    jump-target=ICMP protocol=icmp
    add action=accept chain=input comment="Aceita pings 1/segundo" disabled=yes \
    in-interface=ether2 limit=1,3 protocol=icmp
    add action=drop chain=input comment="Descarta restante pings" disabled=yes \
    in-interface=ether2 protocol=icmp
    add action=jump chain=input comment="Salta para o canal virus" disabled=yes \
    jump-target=VIRUS
    add action=accept chain=input comment="Aceita estabelecidas" \
    connection-state=established disabled=yes
    add action=accept chain=input comment="Aceita relacionadas" connection-state=\
    related disabled=yes
    add action=accept chain=input comment="Aceita redes internas" disabled=yes \
    in-interface=!wlan1
    add action=accept chain=input comment="Aceita winbox Externo" disabled=yes \
    dst-port=8291 in-interface=ether2 protocol=tcp
    add action=accept chain=input comment="Aceita SSH" disabled=yes dst-port=22 \
    protocol=tcp
    add action=accept chain=input comment="Aceita telnet" disabled=yes dst-port=\
    23 protocol=tcp
    add action=drop chain=input comment="Descarta Restante" disabled=yes
    add action=drop chain=forward comment="Descarta Invalidas" connection-state=\
    invalid disabled=yes
    add action=drop chain=forward comment="" disabled=yes src-address-list=\
    bloqueado-por-telnet
    add action=jump chain=forward comment="Salta para canal icmp" disabled=yes \
    jump-target=ICMP
    add action=jump chain=forward comment="Salta para o canal virus" disabled=yes \
    jump-target=VIRUS
    add action=accept chain=forward comment="Aceita estabelecidas" \
    connection-state=established disabled=yes
    add action=accept chain=forward comment="Aceita relacionadas" \
    connection-state=related disabled=yes
    add action=drop chain=VIRUS comment="" disabled=yes protocol=tcp src-port=445
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=445 protocol=tcp
    add action=drop chain=VIRUS comment="Drop Blaster Worm" disabled=yes \
    protocol=udp src-port=445
    add action=drop chain=VIRUS comment="Drop Blaster Worm" disabled=yes \
    dst-port=445 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes protocol=tcp src-port=\
    135-139
    add action=drop chain=VIRUS comment="" disabled=yes protocol=udp src-port=\
    135-139
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=135-139 \
    protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=135-139 \
    protocol=udp
    add action=drop chain=VIRUS comment=________ disabled=yes dst-port=593 \
    protocol=tcp
    add action=drop chain=VIRUS comment=________ disabled=yes dst-port=1024-1030 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop MyDoom" disabled=yes dst-port=1080 \
    protocol=tcp
    add action=drop chain=VIRUS comment=________ disabled=yes dst-port=1214 \
    protocol=tcp
    add action=drop chain=VIRUS comment="ndm requester" disabled=yes dst-port=\
    1363 protocol=tcp
    add action=drop chain=VIRUS comment="ndm server" disabled=yes dst-port=1364 \
    protocol=tcp
    add action=drop chain=VIRUS comment="screen cast" disabled=yes dst-port=1368 \
    protocol=tcp
    add action=drop chain=VIRUS comment=hromgrafx disabled=yes dst-port=1373 \
    protocol=tcp
    add action=drop chain=VIRUS comment=cichlid disabled=yes dst-port=1377 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Bagle VIRUS" disabled=yes dst-port=2745 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Dumaru.Y" disabled=yes dst-port=\
    2283 protocol=tcp
    add action=drop chain=VIRUS comment="Drop Beagle" disabled=yes dst-port=2535 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Beagle.C-K" disabled=yes dst-port=\
    2745 protocol=tcp
    add action=drop chain=VIRUS comment="Drop MyDoom" disabled=yes dst-port=3127 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Backdoor OptixPro" disabled=yes \
    dst-port=3410 protocol=tcp
    add action=drop chain=VIRUS comment=Worm disabled=yes dst-port=4444 protocol=\
    tcp
    add action=drop chain=VIRUS comment=Worm disabled=yes dst-port=4444 protocol=\
    udp
    add action=drop chain=VIRUS comment="Drop Sasser" disabled=yes dst-port=5554 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Beagle.B" disabled=yes dst-port=\
    8866 protocol=tcp
    add action=drop chain=VIRUS comment="Drop Dabber.A-B" disabled=yes dst-port=\
    9898 protocol=tcp
    add action=drop chain=VIRUS comment="Drop Dumaru.Y" disabled=yes dst-port=\
    10000 protocol=tcp
    add action=drop chain=VIRUS comment="Drop MyDoom.B" disabled=yes dst-port=\
    10080 protocol=tcp
    add action=drop chain=VIRUS comment="Drop NetBus" disabled=yes dst-port=12345 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop Kuang2" disabled=yes dst-port=17300 \
    protocol=tcp
    add action=drop chain=VIRUS comment="Drop SubSeven" disabled=yes dst-port=\
    27374 protocol=tcp
    add action=drop chain=VIRUS comment="Drop PhatBot, Agobot, Gaobot" disabled=\
    yes dst-port=65506 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=513 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=513 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=525 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=525 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=568-569 \
    protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=568-569 \
    protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1512 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1512 protocol=\
    udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=396 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=396 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1366 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1366 protocol=\
    udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1416 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1416 protocol=\
    udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=201-209 \
    protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=201-209 \
    protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=545 protocol=tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=545 protocol=udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1381 protocol=\
    udp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=1381 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=3031 protocol=\
    tcp
    add action=drop chain=VIRUS comment="" disabled=yes dst-port=3031 protocol=\
    udp
    add action=accept chain=ICMP comment="" disabled=yes icmp-options=0:0 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=yes icmp-options=8:0 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=yes icmp-options=11:0 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=yes icmp-options=3:3 \
    protocol=icmp
    add action=accept chain=ICMP comment="" disabled=yes icmp-options=3:4 \
    protocol=icmp
    add action=drop chain=ICMP comment="" disabled=yes protocol=icmp


    Amigo tua Ether2 é entrada do seu link ou saida para os clientes ?