Pacotão de regras para seu firewall!

[mpsnet]

Pacotão de regras para seu incrementar teu firewall!
lembresse de testar antes em bancada...

LEMBRANDO QUE TODOS OS CREDITOS SÃO DEVIDO AO USUARIO E MEU AMIGO MAGNUSRK8

FONTE lista-wireless.com

é só colar no terminal o seguinte comando:

Código :

/ip firewall filter
add action=drop chain=forward comment="Bloqueio dos P2P" disabled=no p2p=\
    all-p2p
add action=drop chain=forward comment="Bloqueio do Ares" disabled=no \
    dst-port=0 protocol=udp
add action=drop chain=forward comment="" disabled=no p2p=warez
add action=drop chain=forward comment="" disabled=no protocol=udp src-port=0
add action=log chain=input comment="Log everything else" disabled=no \
    dst-port=22 log-prefix="DROP SSH" protocol=tcp
add action=accept chain=forward comment="  permitir conex es relacionadas" \
    connection-state=related disabled=no
add action=accept chain=forward comment="  permite estabelecer conex es" \
    connection-state=established disabled=no
add action=accept chain=input comment="aceitando 50 pings a cada 5 segundos" \
    disabled=no limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="bloqueando o excesso" disabled=no \
    protocol=icmp
add action=drop chain=input comment="drop ssh brute forcers" disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment="drop ftp brute" disabled=no dst-port=21 \
    protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output comment="" content="530 Login incorrect" \
    disabled=no dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output comment="" content=\
    "530 Login incorrect" disabled=no protocol=tcp
add action=drop chain=forward comment="Bloqueia conex es inv lidas" \
    connection-state=invalid disabled=no
add action=drop chain=virus comment="" disabled=no dst-port=67-68 protocol=\
    udp
add action=drop chain=virus comment="  Drop Blaster Worm" disabled=no \
    dst-port=135-139 protocol=tcp
add action=drop chain=virus comment="  Drop Messenger Worm" disabled=no \
    dst-port=135-139 protocol=udp
add action=drop chain=virus comment="  Drop Blaster Worm" disabled=no \
    dst-port=445 protocol=tcp
add action=drop chain=virus comment="  Drop Blaster Worm" disabled=no \
    dst-port=445 protocol=udp
add action=drop chain=virus comment="  ________" disabled=no dst-port=593 \
    protocol=tcp
add action=drop chain=virus comment="  ________" disabled=no dst-port=\
    1024-1030 protocol=tcp
add action=drop chain=virus comment="  Drop MyDoom" disabled=no dst-port=1080 \
    protocol=tcp
add action=drop chain=virus comment="  ________" disabled=no dst-port=1214 \
    protocol=tcp
add action=drop chain=virus comment="  ndm requester" disabled=no dst-port=\
    1363 protocol=tcp
add action=drop chain=virus comment="   ndm server" disabled=no dst-port=1364 \
    protocol=tcp
add action=drop chain=virus comment="  screen cast" disabled=no dst-port=1368 \
    protocol=tcp
add action=drop chain=virus comment="  hromgrafx" disabled=no dst-port=1373 \
    protocol=tcp
add action=drop chain=virus comment="  cichlid" disabled=no dst-port=1377 \
    protocol=tcp
add action=drop chain=virus comment="  Worm" disabled=no dst-port=1433-1434 \
    protocol=tcp
add action=drop chain=virus comment="  Bagle Virus" disabled=no dst-port=2745 \
    protocol=tcp
add action=drop chain=virus comment="  Drop Dumaru.Y" disabled=no dst-port=\
    2283 protocol=tcp
add action=drop chain=virus comment="  Drop Beagle" disabled=no dst-port=2535 \
    protocol=tcp
add action=drop chain=virus comment="  Drop Beagle.C-K" disabled=no dst-port=\
    2745 protocol=tcp
add action=drop chain=virus comment="  Drop MyDoom" disabled=no dst-port=\
    3127-3128 protocol=tcp
add action=drop chain=virus comment="  Drop Backdoor OptixPro" disabled=no \
    dst-port=3410 protocol=tcp
add action=drop chain=virus comment="  Worm" disabled=no dst-port=4444 \
    protocol=tcp
add action=drop chain=virus comment="  Worm" disabled=no dst-port=4444 \
    protocol=udp
add action=drop chain=virus comment="  Drop Sasser" disabled=no dst-port=5554 \
    protocol=tcp
add action=drop chain=virus comment="Drop Beagle.B" disabled=no dst-port=8866 \
    protocol=tcp
add action=drop chain=virus comment="  Drop Dabber.A-B" disabled=no dst-port=\
    9898 protocol=tcp
add action=drop chain=virus comment="  Drop MyDoom.B" disabled=no dst-port=\
    10080 protocol=tcp
add action=drop chain=virus comment="  Drop NetBus" disabled=no dst-port=\
    12345 protocol=tcp
add action=drop chain=virus comment="" disabled=no
add action=drop chain=virus comment="  Drop SubSeven" disabled=no dst-port=\
    27374 protocol=tcp
add action=drop chain=virus comment="  Drop PhatBot, Agobot, Gaobot" \
    disabled=no dst-port=65506 protocol=tcp
add action=jump chain=forward comment="  jump to the virus chain" disabled=no \
    jump-target=virus
add action=accept chain=forward comment="  Allow HTTP" disabled=no dst-port=\
    80 protocol=tcp
add action=accept chain=forward comment="  Allow SMTP" disabled=no dst-port=\
    25 protocol=tcp
add action=accept chain=forward comment="  allow TCP" disabled=no protocol=\
    tcp
add action=accept chain=forward comment="  allow ping" disabled=no protocol=\
    icmp
add action=accept chain=forward comment="  allow udp" disabled=no protocol=\
    udp
add action=drop chain=forward comment="  drop everything else" disabled=no

[mktguaruja]

Muito bom o firewall, black list para usuario que tenta invadir por ssh, bloquear os p2p, ping e tudo mais. Muito bom mesmo !

[carlindanet]

quais a funções principais dessas regras?

[Nando]

pessoal alguem me explica como funciona o black list?

[mktguaruja]

Amigo o blacklist, é uma uma cara esta tentando invadir seu mk pela portas que esta aberta. Ele coloca o bruteforce, e ele fica tentando uma serie de combinações possiveis, com o blacklist configurado o ip dele vai la para o Firewall> address list, dropando qualquer coisa que aquele ip tenta fazer.

pessoal alguem me explica como funciona o black list?

[Nando]

obrigado vou tentar fazer...

[salvato]

O que essas regras bloqueiam

[mktguaruja]

Amigo tem um pouco de cada coisa, faz drop das principais portas utiliza por virus, programa de p2p como ares, entre outros. Bloqueia acesso via ssh para seu mikrotik entre varias outras coisas.

O que essas regras bloqueiam

[dvse1]

parabens amigo por essa iniciativa... pouco fazem isso. Sou leiguissimo no assunto MK... o meu é 3.30... sera que essas regras dariam nessa versão? e como faço pra eles setarem no firewall pelo terminal.. pois aqui deu syntax erro.. eu nem sei o que é isso...rsss... mas posso aprender. o que sera que está acontecendo ou acinteceu? as unicas regras que ja tem sao a que o HOTSPOT criou automaticamente...

[Nando]

dvse1 vc pode colocar manualmente tambem , trabalhoso e cansativo mais como n conseguiu pelo new terminal pode fazer assim pra não ficar sem rsrsr la no firewall

[dvse1]

Nando, obrigado pela sua atenção. será que vai funcionar com minha versão? estouu usando hotspot como citei, será que vai dar algun pau?

[Nando]

cara num da ñ agora vc tem que ver as regras direitinho pra depois não bloquear alguma porta necessaria tipo as usadas pelo web proxy se utilizar... no mais e tranquilo

[dvse1]

oi pessoal, oi nando... tudo bem? hoje mesmo coloquei uma regra de bloquei de sites, pelo firewall, e não funcionou... inclusive uma que tem aqui no forum... ip/firewall/filter rule/general/chain=output, dst address=ip do site/24, action=drop... apply... e nada, continua abrindo o site... minha versão é 0 3.30... e a regra foi 2.9x tem alguama coisa haver?

[Nando]

dvse1 tudo bom sim. e vc?
tenta chain=input,src.address o ip da maquina que vai bloquear, coloca o site em contet, action=drop
resolvendo agradece ai ...

[dvse1]

Oi pessoal, acabei de colocar essas regras no meu, que não tinha nenhma...rsrsrs.. mas como faço pra cliar uma blacklist 'lista negra"? o se ja tem? como encontro?

[bredy]

cara muito boa essa regra 100% funcional valeu mesmo

[MarcianoMarques]

Obrigado pelas regras.

Eu adicionei uma a uma pelo terminal e realizei testes a cada passo.
Trabalhoso, mas para mim que sou iniciante é praticamente necessário.

Existe uma regra apenas que trava a conexão. A regra que está entre "Drop Netbus" e "Drop Subseven" a "add action=drop chain=virus comment="" disabled=no "

Quando habilito essa regra, ninguem navega. É possível até logar no hotspot, mas não sai da tela de alogin.

Gostaria de habilitar todas e entender essa acima.

Desde já grato.