+ Responder ao Tópico



  1. #1

    Padrão Bloq e Liberação pelo Firewall

    Bom Dia,

    Pessoal estou com um problema grande por aqui tenho q Bloq. por completo todos os sites porém alguns sites como (bancos, governamentais, dentro alguns outros) tenho q libera-los. Sei que seria bem mais fácil fazer por web-proxy. Porém não poderei utiliza-lo.
    Desta forma tentei fazer de um jeito que não esta dando certo de jeito nenhum tentei utilizar a lógica de que o firewall executa uma linha de cada vez e assim a linha de cima tem mais prioridade do que as de baixo. Mas não dá certo não

    Coloquei +/- assim.
    /ip firewall filter
    add action=accept chain=forward comment="Sites Liberados" content=.gov.br disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=.edu disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=.gov disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=.mil disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=bradesco disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=itau disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=bb.com.br disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=bancofibra disabled=no src-address=192.168.3.0/29
    add action=drop chain=forward comment="" disabled=no protocol=udp src-address=192.168.3.0/29
    add action=drop chain=forward comment="" disabled=no protocol=tcp src-address=192.168.3.0/29

    Nas duas ultimas linhas estou bloq. os demais. Porém desta forma não da certo, pois passa a bloq. tudo nem os que estão sendo liberados é liberados categoricamente.

  2. #2

    Padrão Re: Bloq e Liberação pelo Firewall

    A content não é nem nunca vai ser um método seguro pra firewall, não recomendo a não ser que seja para um quebra galho sem nenhuma importância.

    Adicione o proto tcp, dst port 80 e não precisa dropar o udp a não ser que vc realmente saiba o que esta fazendo pois caso contrario ficará sem resolução dns.



  3. #3

    Padrão Re: Bloq e Liberação pelo Firewall

    Você pode criar um addres-list dinâmica com os endereços acessados pelas regras acima e manter liberado apenas tais endereços ou pegar o range de cada um desses serviços já que não são muitos e liberar diretamente as classes de ip no firewall dropando o resto pros clientes da classe em questão, seria mais seguro e mais indicado também.

    Abraço