Página 6 de 7 PrimeiroPrimeiro ... 234567 ÚltimoÚltimo
+ Responder ao Tópico



  1. Amigos, ter um super firewall completo como já foi citado e muito complicado e sem dúvida a melho solução é construir um firewall respeitando as caracteristicas especificas de cada ambiente. Mas ao meu ver manter uma lista sempre atualizada com regras de proposito geral e que são necessárias a qualquer ambiente, eu não vejo qual o problema como exemplo segue as regras abaixo já postadas aqui anteriormente.

    add action=drop chain=VIRUS comment="ndm server" disabled=yes dst-port=1364 \
    protocol=tcp
    add action=drop chain=VIRUS comment="screen cast" disabled=yes dst-port=1368 \
    protocol=tcp
    add action=drop chain=VIRUS comment=hromgrafx disabled=yes dst-port=1373 \
    protocol=tcp
    add action=drop chain=VIRUS comment=cichlid disabled=yes dst-port=1377 \
    protocol=tcp

    Regras de bloqueio de virus conhecidos, portas de trojans e outras pragas de rede já conhecidas que ao meu ver são de proposito geral e praticamente qualquer um gostaria de eliminar da sua rede eu entendo como sendo normas de boas práticas, pricipalmente para quem não tem tanto conhecimento teórico mas gostaria de manter um minímo se sanidade na sua rede sem prejudicar a si mesmo nem aos outros.

  2. Citação Postado originalmente por Roberto21 Ver Post
    Pessoal, por mais incrível e estranho que vocês possam achar o ''filho da mãe'' do CATV está certo, talvez de todas essas regras colocadas aqui de firewall a três (ultimas dele) foram as melhores, não entenderam não é?...Vou explicar o que ele quiz dizer...

    Essas 3 regras no final do firewall que o CATV cita é que ''ele'' libera tudo que é importante para uma determinada rede, aceita os protocolos principais e o resto ele dropa tudo, isso sim que seria ou é, um firewall ideal...agora quem simplesmente colocar essa regra em seu firewall sem que antes delas (respeitando a hierarquia do firewall) existam outras regras que liberem o que seja necessário, vai ficar um M...só.

    Acho que compreenderam e espero o comentário dele mesmo aqui...
    Perspectiva interessante a do amigo.. não tinha visto por este ângulo... Assim sendo, peço minhas desculpas ao amigo Circuito Aberto de TV...

    um grande abraço a todos,



  3. para que serve essas tres regras

    As 3 ÚLTIMAS regras:

    chain=input action=drop
    chain=forward action=drop
    chain=output action=drop[/QUOTE]

  4. Citação Postado originalmente por catvbrasil Ver Post
    Vixe!!!

    O firewall realmente é um só, mas no Mk ele é dividido em 3 partes independentes.

    O filter (filtro) trabalha basicamente como proteção primária da rede. Nele de forma básica é utilizado para aceitar ou negar pacotes. (ponto)

    O NAT é onde realizado o NAT mesmo, bem como os redirecionamentos baseados na origem ou no destino dos pacotes.

    O Mangle é um marcador de pacotes. Nele podemos alterar algumas caracteristicas dos pacotes como mms, mmu, ttl e etc.

    As service ports são auxiliares do nat que serve basicamente para compatibilizar alguns protocolos e serviços com o nat.

    O connection tracking mostra os estados de todas as conexões e só é disponível quando o firewall opera em "state full"

    O address-list do firewall, basicamente serve para criar listas com ips (baseado em endereços de origem / destino)

    Layer7 está relacionada a regex do protocolo 7. Serve para criar combinações de regras em outras partes.

    Veja que é bem simples o firewall e todas e cada função funciona independente uma da outra. Afirmar que filter só funciona com nat ou mangle ou vice-versa está errado. O que podemos afirmar é que dependendo do que você usa, provavelmente irá depender das abas auxiliares. Exemplo, podemos criar uma regra na aba filter do firewall, utilizando uma regex colocada na aba layer7 do firewall (nesse caso um dependerá do outro).

    Lembrado que de nada serve as marcações colocadas no mangle caso não estejam sendo utilizadas em outros cantos (assim como as regex do layer7 e as listas da address-list).

    PS: Regras dinâmicas não são consideradas perfeitas, mas sim necessárias. As regras do hotspot aparecem dinâmicamente quando configurado o hotspot, para facilitar a vida de quem configura. Isso foi implementado pela Mikrotik visando facilitar as configurações, pois imagina você ter que configurar cada uma daquelas regras manualmente para habilitar o hotspot. Muitos teriam problemas...
    ola, em se falando em firewall nao consigo redirecionar ip do cliente para pagina de bloqueio, nao uso hotspot, nao tenho servidor proxy, em uma maquina na rede configurei um servidor web com apache e coloquei minha pagina de bloqueio, quando aplico as regras de ip/firewall/nat, até bloqueia o cliente mas a pagina de bloqueio nao aparece, mas se la no cliente eu digito o ip da maquina onde ta a pagina de bloqueio a pagina aparece. gostaria de ajuda nesse problema, o q faço?



  5. /ip firewall nat
    add action=dst-nat chain=dstnat comment="REDIRECIONA CLIENTES DEBITO-AVISO" disabled=no \
    protocol=tcp src-address=192.168.10.222 to-addresses=\
    192.168.10.232 to-ports=8888

    Onde em azul, é o IP do devedor lazarento
    Em vermelho, é o ip e porta do servidor

    TESTADO E FUNFANDO!!!






Tópicos Similares

  1. script firewall 02 links!!
    Por jrctec no fórum Servidores de Rede
    Respostas: 34
    Último Post: 30-05-2005, 10:10
  2. Script Firewall
    Por Kandango no fórum Servidores de Rede
    Respostas: 2
    Último Post: 10-10-2004, 12:31
  3. Rodar script firewall.sh na inicialização do sistema.
    Por goncalvesanderson no fórum Servidores de Rede
    Respostas: 5
    Último Post: 13-07-2004, 14:59
  4. Erro no script Firewall
    Por danielvbhp no fórum Servidores de Rede
    Respostas: 5
    Último Post: 01-02-2004, 09:33
  5. Vejam esse script firewall/nat, aonde tá o erro?
    Por no fórum Servidores de Rede
    Respostas: 5
    Último Post: 02-11-2002, 21:47

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L