Firewall no mikrotik

[RafsQ]

Boa noite,
gostaria muito de gerenciar a rede com mais segurança ,até porque um bom técnico precisa fazer um trabalho bem feito.
Tenho gerenciado minha rede mikrotik com o firewall do mesmo, mas noto que deixa a rede um pouco lenta em determinados acesso até porque ele verifica aquelas regras que somadas a demais configuração vão me dar um pequeno atraso( me corrijam se eu estiver errado).
O que quero saber é o seguinte, tem como eu ligar um firewall paralelo ao mikrotik usando somente uma porta (placa de rede pc + entra lan RB mikrotik) ou preciso usar duas placa de rede no pc que está rodando esse firewall ?

Desde já agraço.

[alexrock]

Amigo, qual o seu equipamento? Regras bem feitas nele não causam lebtidao...

[RafsQ]

Amigo, qual o seu equipamento? Regras bem feitas nele não causam lebtidao...

Temos um link de 40mb ( suficiente para a quantidade de usuários ) mas noto uma certa lentidão as vezes ao aplicar bloqueios nos sites ( facebook, youtube,instagram e twitter).Digo isso porque quando passo por essa lentidão removo as regras e noto que tem um certo ganho de velocidade
.As regras que aplico no firewall indico: porta, protocolo, content e ai dropo.

Uso uma rb 1100 AHX2

[alexrock]

Tente usar content somente na porta 53 do DNs ao invés da porta 80. Uso dessa forma e não tenho impacto algum.

[RafsQ]

Tente usar content somente na porta 53 do DNs ao invés da porta 80. Uso dessa forma e não tenho impacto algum.

Fazer o bloqueio por DNS ?
Poderia ajudar?

[alextaws]

Qual equipamento esta instalado seu RouterOS?

[RafsQ]

Qual equipamento esta instalado seu RouterOS?

É uma RB 1100 AHX2

[alextaws]

então não é firewall não, e outro serviço, pra saber vai em.

no menu

TOOL --> PROFILE

Aqui você ver os serviços que estão mais consumindo, faz isso e posta um print pra gente ver.

[RafsQ]

então não é firewall não, e outro serviço, pra saber vai em.

no menu

TOOL --> PROFILE

Aqui você ver os serviços que estão mais consumindo, faz isso e posta um print pra gente ver.

Não é o equipamento lento não . Já verifiquei isso. A internet fica meio lenta mesmo quanto ligo as regras. Trabalho com Vlans e autenticação por pppoe.

[alextaws]

posta tuas regras se puder, pra gente analisar

[RafsQ]

posta tuas regras se puder, pra gente analisar

Essas são as únicas regras do firewall

/ip firewall filter
add action=reject chain=forward comment=FACEBOOK dst-address=31.13.85.0/24 dst-port=443 protocol=tcp reject-with=icmp-admin-prohibited src-address-list=!Liberado
add action=reject chain=forward comment=YOUTUBE content=youtube.com dst-port=443 protocol=tcp reject-with=icmp-admin-prohibited src-address-list=!Liberado
add action=reject chain=forward comment=INSTAGRAM dst-address=52.203.104.0/24 dst-port=443 protocol=tcp reject-with=icmp-admin-prohibited src-address-list=!Liberado
add action=reject chain=forward comment=FACEBOOK content=facebook dst-port=443 protocol=tcp reject-with=icmp-admin-prohibited src-address-list=!Liberado


Aproveitando o post.Além dessas regras que são algo que eu uso,nem todos precisam disso, devo fazer marcações de pacotes no mangle para gerenciar melhor minhas conexões ?

[alextaws]

Facebook ao acessar as vezes ele e joga pra conectar por outro ip em outra região sem ser no Brasil, ao bloquear essa range pode bloquear, outros serviços também que utilizem a mesma range e vi que usa icmp também, faz oque te falei no começo.

vai em TOOL --> PROFILE e da um start, aqui você vai saber quais serviços estão consumindo processamento se houver, se não houver testar fazer um bloqueio por address list para cada site, pegando todas as address list em bgp.he.net só digitar nome do site la que aparece.

Se puder responde, você quer bloquear o acesso a esses sites ai?

[RafsQ]

Facebook ao acessar as vezes ele e joga pra conectar por outro ip em outra região sem ser no Brasil, ao bloquear essa range pode bloquear, outros serviços também que utilizem a mesma range e vi que usa icmp também, faz oque te falei no começo.

vai em TOOL --> PROFILE e da um start, aqui você vai saber quais serviços estão consumindo processamento se houver, se não houver testar fazer um bloqueio por address list para cada site, pegando todas as address list em bgp.he.net só digitar nome do site la que aparece.

Se puder responde, você quer bloquear o acesso a esses sites ai?

Acho que vou recorrer ao bloqueio por Address list novamente. rs
Preciso fazer o bloqueio desses sites.
Na verdade desses ai e de seus app no android, o que tem sido uma dor de cabeça para conseguir. O youtube mesmo é complicado.Crio uma rede somente para celulares e o pessoal não não entende que o youtube (app) deve ser evitado pois limito a velocidade dos usuários.

[alexrock]

Amigo, bloquear por dst-address vai ter deixa louco!

Bloqueio por dns:

add action=drop chain=input comment="Bloqueio Face DNS" content=facebook \
dst-port=53 in-interface=ether1 protocol=udp src-address-list=!liberados

Logica: toda requisição de resolução de dns que chegar de src que não estiver liberado (lista liberados) vai ser dropada. Sem resolução de dns, sem acesso. Custo quase zero de cpu.

Sendo a ether1 minha lan e meu Routeros o dns da rede.
Caso não use o dns do routeros, a regra é quase igual mais para a chain forward.

[RafsQ]

Amigo, bloquear por dst-address vai ter deixa louco!

Bloqueio por dns:

add action=drop chain=input comment="Bloqueio Face DNS" content=facebook \
dst-port=53 in-interface=ether1 protocol=udp src-address-list=!liberados

Logica: toda requisição de resolução de dns que chegar de src que não estiver liberado (lista liberados) vai ser dropada. Sem resolução de dns, sem acesso. Custo quase zero de cpu.

Sendo a ether1 minha lan e meu Routeros o dns da rede.
Caso não use o dns do routeros, a regra é quase igual mais para a chain forward.

Fiz o que me recomendou para efetuar os bloqueios. Deu tudo certo.
Agora que fiz isso não tive mais aquela lentidão que citei logo no início dos comentários. Me recomenta fazer alguma regra para proteção contra scanner na rede ou devo usar alguma outra ferramenta para proteção e monitoramento ?
Na verdade irei monitorar com o zabbix. Mas ele não me garante segurança e sim monitoramento da rede e seus equipamentos.



Valeu,

abraço.

[leeooziinhoo]

Fazer o bloqueio por DNS ?
Poderia ajudar?

Ele quis dizer para voce fazer uma regra de bloqueio na porta 53... Muitas vezes quem tem IP fixo sofre ataque de DNS nesta porta. Atualmente tenho uma regra dessa ativa tanto na UDP quanto na TCP. Faz uma regrinha dessa pra voce e acompanhe se vai ter algum consumo

[RafsQ]

Ele quis dizer para voce fazer uma regra de bloqueio na porta 53... Muitas vezes quem tem IP fixo sofre ataque de DNS nesta porta. Atualmente tenho uma regra dessa ativa tanto na UDP quanto na TCP. Faz uma regrinha dessa pra voce e acompanhe se vai ter algum consumo

Vou dar uma olhada nessa regra. Valeu ,parceiro.
👍