Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Salve amigos do Under-Linux!

    Meu nome é Roberto Jacob, sou usuário deste fórum a um tempo e este é meu primeiro post, esperando eu ajudar muita gente ou o máximo possível.

    Sempre vejo aqui pessoas que precisam de ajuda e gente disposta a ajudar, porém tem algo muito agravante no meio disso: respostas complicadas, pois 90% dos usuários que perguntam são iniciantes e não sabem muita coisa ou de muitas SIGLAS, são raras as respostam que realmente resolvem de maneira prática, e creio eu que o intúito deste fórum é ajudar compartilhando conhecimento.

    Recentemente estive procurando por algumas regras relacionadas a Firewall no Mikrotik, e depois de visitadas inumeras páginas com respostas que não ajudam, encontrei em um site na blogosfera uma lista, não sei se completa, mas com muitos scripts indispensáveis para seu servidor rodar com mais segurança, pois muito além de apenas controlar banda, o MK tem que ser seguro. Deixemos de "palavriar", e vamos aos códigos.

    Obrigado a todos que leram meu tópico, espero ter sido útil. Não sou um Geek Expert, apenas ralo muito pesquisando pra resolver meus problemas e angariar mais knowhow!

    Conexoes estabelicidas
    chain=forward connection-state=established action=accept

    Relacionamento de conexoes
    chain=forward connection-state=related action=accept

    Dropa conexoes invalidas
    chain=forward connection-state=invalid action=drop

    Dropa exesso de ping
    chain=forward protocol=icmp limit=50/5s,2 action=drop

    Sem limite de ping
    chain=forward protocol=icmp limit=50/5s,2 action=accept

    DROPAR ARQUIVOS .SCR
    chain=input content=.scr action=drop

    Bloqueio NETBIOS:
    chain=forward protocol=tcp dst-port=137-139 action=drop

    Bloqueio NETBIOS 2
    chain=forward protocol=tcp dst-port=445 action=drop

    Bloqueia host se enxergar
    chain=forward src-address=0.0.0.0 dst-address=0.0.0.0 action=drop

    Limite de conexao P2P por clientes: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
    chain=forward src-address=192.168.3.2 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
    (até o final de seus ips cadastrado)

    Limite de conexao por cliente: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
    chain=forward src-address=192.168.3.2 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    até o final de seus ips cadastrado)

    Bloqueia scan via winbox para todos
    chain=input protocol=udp dst-port=5678 action=drop

    Libera winbox para ips locais: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
    chain=input src-address=192.168.2.2 protocol=tcp dst-port=8291 action=accept
    (até o final de seus ips cadastrado)

    Libera portas FTP SSH TELNET para ips locais:
    chain=input src-address=192.168.2.2 protocol=tcp ds-port=21-23 action=accept

    Bloqueia porta winbox range local
    chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=8291 action=drop
    chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=8291 action=drop

    Bloqueia portas FTP SSH TELNET

    chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=21-23 action=drop
    chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=21-23 action=drop

    Bloqueio MAC winbox
    chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=20561 action=drop
    chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=20561 action=drop

    Bloqueio do Proxy externo
    chain=input in-interface=LINK protocol=tcp dst-port=3128 action=drop

    Bloqueio de ssh externo

    chain=input in-interface=LINK protocol=tcp dst-port=22-23 action=drop

    Bloqueio de ftp externo
    chain=input in-interface=LINK protocol=tcp dst-port=21 action=drop

    Bloqueio de telnet externo
    chain=input in-interface=LINK protocol=tcp dst-port=23 action=drop

    Bloqueio winbox externo
    chain=input in-interface=LINK protocol=tcp dst-port=8291 action=drop

    Bloqueio do DNS externo
    chain=input in-interface=LINK protocol=tcp dst-port=53 action=drop
    chain=input in-interface=LINK protocol=udp dst-port=53 action=drop

    Bloqueio de VIRUS conhecidos
    chain=virus protocol=tcp dst-port=445 action=drop
    chain=virus protocol=udp dst-port=445 action=drop
    chain=virus protocol=tcp dst-port=593 action=drop
    chain=virus protocol=tcp dst-port=1080 action=drop
    chain=virus protocol=tcp dst-port=1363 action=drop
    chain=virus protocol=tcp dst-port=1364 action=drop
    chain=virus protocol=tcp dst-port=1373 action=drop
    chain=virus protocol=tcp dst-port=1377 action=drop
    chain=virus protocol=tcp dst-port=1368 action=drop
    chain=virus protocol=tcp dst-port=1433-1434 action=drop
    chain=virus protocol=tcp dst-port=1024-1030 action=drop
    chain=virus protocol=tcp dst-port=1214 action=drop

    Drop Blaster Worm
    chain=virus protocol=tcp dst-port=135-139 action=drop

    Drop Messenger Worm
    chain=virus protocol=udp dst-port=135-139 action=drop

    Drop Blaster Worm
    chain=virus protocol=tcp dst-port=445 action=drop

    Drop Blaster Worm
    chain=virus protocol=udp dst-port=445 action=drop
    chain=virus protocol=tcp dst-port=593 action=drop
    chain=virus protocol=tcp dst-port=1024-1030 action=drop
    chain=virus protocol=tcp dst-port=1080 action=drop
    chain=virus protocol=tcp dst-port=1214 action=drop
    chain=virus protocol=tcp dst-port=1363 action=drop
    chain=virus protocol=tcp dst-port=1364 action=drop
    chain=virus protocol=tcp dst-port=1368 action=drop
    chain=virus protocol=tcp dst-port=1373 action=drop
    chain=virus protocol=tcp dst-port=1377 action=drop
    chain=virus protocol=tcp dst-port=1433-1434 action=drop
    chain=virus protocol=tcp dst-port=2745 action=drop
    chain=virus protocol=tcp dst-port=2283 action=drop
    chain=virus protocol=tcp dst-port=2535 action=drop
    chain=virus protocol=tcp dst-port=2745 action=drop
    chain=virus protocol=tcp dst-port=3127-3128 action=drop

    Drop Backdoor OptixPro
    chain=virus protocol=tcp dst-port=3410 action=drop
    Worm
    chain=virus protocol=tcp dst-port=4444 action=drop
    Worm
    chain=virus protocol=udp dst-port=4444 action=drop
    Drop Sasser
    chain=virus protocol=tcp dst-port=5554 action=drop
    Drop Beagle.B
    chain=virus protocol=tcp dst-port=8866 action=drop
    Drop Dabber.A-B
    chain=virus protocol=tcp dst-port=9898 action=drop
    Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=10000 action=drop
    Drop MyDoom.B
    chain=virus protocol=tcp dst-port=10080 action=drop
    Drop NetBus
    chain=virus protocol=tcp dst-port=12345 action=drop
    Drop Kuang2
    chain=virus protocol=tcp dst-port=17300 action=drop
    Drop SubSeven
    chain=virus protocol=tcp dst-port=27374 action=drop
    Drop PhatBot, Agobot, Gaobot
    chain=virus protocol=tcp dst-port=65506 action=drop

    Drop Netbios e Similar
    chain=forward protocol=udp dst-port=135 action=drop
    chain=forward protocol=tcp dst-port=135 action=drop
    chain=forward protocol=udp dst-port=137 action=drop
    chain=forward protocol=udp dst-port=137 action=drop
    chain=forward protocol=udp dst-port=138 action=drop
    chain=forward protocol=tcp dst-port=138 action=drop
    chain=forward protocol=udp dst-port=139 action=drop
    chain=forward protocol=tcp dst-port=139 action=drop
    chain=forward protocol=tcp dst-port=445 action=drop
    chain=forward protocol=udp dst-port=445 action=drop

    acessar winbox somente administrador
    chain=input protocol=tcp dst-port=8291 src-mac-address=xx:xx:xx:XX:XX:xx action=accept

    bloquear winbox em todos
    chain=input protocol=tcp dst-port=8291 action=drop

    Quebra de Criptografia Warez: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
    add chain=forward src-address=192.168.3.8 protocol=tcp tcp-flags=syn connection-limit=12,32 action=drop
    (até o final de seus ips cadastrado)

    Obrigado.

  2. Gostei da ideia de compartilhar o seu firewall.



  3. sempre que eu puder ajudarei no que for possível! Obg.

  4. Cara muito bom ehin, se ta de parabéns, só me responde uma coisa, não intendi essas falas (até o final de seus ips cadastrado), o que tenho que fazer? vlw!



  5. Citação Postado originalmente por betozanre Ver Post
    Cara muito bom ehin, se ta de parabéns, só me responde uma coisa, não intendi essas falas (até o final de seus ips cadastrado), o que tenho que fazer? vlw!
    Amigo, isso dai é simples, é como se eu dissesse "etc.", ou seja, ai é o começo do exemplo, vc apenas tem que fazer co todos os IP's da sua rede, pois aqui no post não tem espaço suficiente e mesmo que tivesse ficaria enorme e dificultaria a leitura.
    Além do que eu não sei quantos clientes você teria entendeu? Então deixei assim pra generalizar e até diminui um pouco pois não tava cabendo!
    Obrigado.






Tópicos Similares

  1. Problema com firewall no CL 10
    Por no fórum Servidores de Rede
    Respostas: 5
    Último Post: 05-08-2005, 16:39
  2. Problema com firewall iptables + dominio interno
    Por bandlinux no fórum Servidores de Rede
    Respostas: 4
    Último Post: 30-04-2005, 23:05
  3. Problema com firewall
    Por jlbavaresco no fórum Servidores de Rede
    Respostas: 2
    Último Post: 12-01-2005, 11:05
  4. LowID no XMULE, problemas com Firewall
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 27-10-2004, 11:29
  5. problemas com firewall
    Por biosterlinux no fórum Servidores de Rede
    Respostas: 3
    Último Post: 11-06-2004, 15:39

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L