+ Responder ao Tópico



  1. 05-10-2011, 11:39 #1
    wcoelho
    wcoelho está desconectado
    Avatar de wcoelho
    Ingresso
    Jul 2008
    Posts
    108

    Padrão Bloq e Liberação pelo Firewall

    Bom Dia,

    Pessoal estou com um problema grande por aqui tenho q Bloq. por completo todos os sites porém alguns sites como (bancos, governamentais, dentro alguns outros) tenho q libera-los. Sei que seria bem mais fácil fazer por web-proxy. Porém não poderei utiliza-lo.
    Desta forma tentei fazer de um jeito que não esta dando certo de jeito nenhum tentei utilizar a lógica de que o firewall executa uma linha de cada vez e assim a linha de cima tem mais prioridade do que as de baixo. Mas não dá certo não

    Coloquei +/- assim.
    /ip firewall filter
    add action=accept chain=forward comment="Sites Liberados" content=.gov.br disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=.edu disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=.gov disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=.mil disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=bradesco disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=itau disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=bb.com.br disabled=no src-address=192.168.3.0/29
    add action=accept chain=forward comment="" content=bancofibra disabled=no src-address=192.168.3.0/29
    add action=drop chain=forward comment="" disabled=no protocol=udp src-address=192.168.3.0/29
    add action=drop chain=forward comment="" disabled=no protocol=tcp src-address=192.168.3.0/29

    Nas duas ultimas linhas estou bloq. os demais. Porém desta forma não da certo, pois passa a bloq. tudo nem os que estão sendo liberados é liberados categoricamente.
    Citação Citação
  2. 05-10-2011, 21:13 #2
    m4d3
    m4d3 está desconectado
    Avatar de m4d3
    Ingresso
    Aug 2007
    Localização
    Paraná
    Posts
    919
    Posts de Blog
    9

    Padrão Re: Bloq e Liberação pelo Firewall

    A content não é nem nunca vai ser um método seguro pra firewall, não recomendo a não ser que seja para um quebra galho sem nenhuma importância.

    Adicione o proto tcp, dst port 80 e não precisa dropar o udp a não ser que vc realmente saiba o que esta fazendo pois caso contrario ficará sem resolução dns.
    Citação Citação
  3. 05-10-2011, 21:15 #3
    m4d3
    m4d3 está desconectado
    Avatar de m4d3
    Ingresso
    Aug 2007
    Localização
    Paraná
    Posts
    919
    Posts de Blog
    9

    Padrão Re: Bloq e Liberação pelo Firewall

    Você pode criar um addres-list dinâmica com os endereços acessados pelas regras acima e manter liberado apenas tais endereços ou pegar o range de cada um desses serviços já que não são muitos e liberar diretamente as classes de ip no firewall dropando o resto pros clientes da classe em questão, seria mais seguro e mais indicado também.

    Abraço
    Citação Citação



« Tópico Anterior | Próximo Tópico »