Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Portela o que pega seria o nat, eu to pesquisando e testando para ver se consigo alguma coisa. Hoje eu trabalho com o mk roteado tenho 4 classe C invalida e uma valida. faco controle de p2p e deixo todo mundo com banda de 512 no mk. A banda contratada e feito no meu servidor principal que ta ligado no backbone da embratel. Todos os meus clientes chega com ip + mac neste servidor.

    Citação Postado originalmente por Portela
    Pessoal,

    Aqui tenho a seguinte configuração:

    01 - Servidor MK com nat, proxy transparente, DNS, e firewall;
    02 - AP MK com controle de banda, filtro de MAC, etc.

    Estava pensando em colocar um outro MK servidor entre o Servidor MK e o AP e tirar o controle de banda do AP e colocar no primeiro Servidor MK. Assim:

    1º - SERVIDOR MK (Controle de banda, firewall, DNS, NAT)

    2º - SERVIDOR MK (Proxy transparante e cache sem controle de banda)

    3º - AP BRIDGER MK (Filtro de MAC, bloqueio da rede, etc)

    Penso eu que dessa forma tudo quanto é conteúdo do cache não sofrerar controle de banda e assim, por exemplo, se uma página ou um arquivo estiver no cache ele vai a toda velocidade para o cliente.

    Alguém já fez isso antes ou tem essa configuração funcionando?

    Aguardo.

  2. Opa roney meu controle de usuario e centralizado. fica tudo em um unico servidor que faz o controle de banda. No mk controlo apenas p2p e bloqueio algumas portas manjadas que os trojans e afins gostam de usar.

    Citação Postado originalmente por roneyeduardo
    Cara, eu não sei como fazer no Mikrotik (tipo, os comandos)...mas posso dar uma idéia geral da situação:

    1 - Você deverá repassar IP válido aos seus clientes (já que não quer fazer NAT);
    2 - O Gateway dos seus clientes deverá ser o IP do Mikrotik;
    3 - Como o tráfego dos clientes passa pelo Mikrotik, basta agora você redirecionar todas as requisições para a port de destino 80 para serem redirecionadas para a porta 3128 (onde deverá ter o proxy do MT rodando).

    Tipo, não é NAT, porém, como vc vai redirecionar o tráfego da porta 80 para o proxy, todas as requisições HTTP vão sair com o IP do seu servidor (MT). Não tem como escapar disso (a não ser que vc não use mais o Mikrotik como servidor, mas sim um Linux, com kernel, iptables e squid recompilados com o patch do TPROXY, que esse sim, possibilita proxy transparent com o squid e ainda faz com que as requisições, ao invés de sairem com o IP do proxy, saiam com os IPs dos clientes - o TPROXY faz isso com spoofing de IP).



  3. Citação Postado originalmente por oyama
    Opa roney meu controle de usuario e centralizado. fica tudo em um unico servidor que faz o controle de banda. No mk controlo apenas p2p e bloqueio algumas portas manjadas que os trojans e afins gostam de usar.
    Oyama, já que bloqueia portas manjadas... abaixo algumas regras do meu:

    11 ;;; Syn-flood
    chain=input protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept

    12 ;;; Syn-flood
    chain=forward protocol=tcp tcp-flags=fin,syn,rst,ack limit=1,5 action=accept

    13 ;;; DoS
    chain=input protocol=icmp icmp-options=8:0 limit=1,5 action=accept

    14 ;;; DoS
    chain=forward protocol=icmp icmp-options=8:0 limit=1,5 action=accept

    18 ;;; Fragmentação
    chain=input in-interface=WAN-EBT fragment=yes action=log log-prefix="Pacote INPUT Fragmentado"

    31 ;;; NetBIOS
    chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp dst-port=135-139 action=drop

    32 chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=udp dst-port=135-139 action=drop

    33 ;;; Bug tradução NAT
    chain=output protocol=icmp connection-state=invalid action=drop

    34 ;;; Cabeçalhos inválidos
    chain=forward connection-state=invalid action=drop

    35 chain=input in-interface=WAN-EBT protocol=tcp tcp-flags=fin,psh,urg action=drop

    36 ;;; Drop Blaster Worm
    chain=virus protocol=tcp dst-port=135-139 action=drop

    37 ;;; Drop Messenger Worm
    chain=virus protocol=udp dst-port=135-139 action=drop

    38 ;;; Drop Blaster Worm
    chain=virus protocol=tcp dst-port=445 action=drop

    39 ;;; Drop Blaster Worm
    chain=virus protocol=udp dst-port=445 action=drop

    40 ;;; ________
    chain=virus protocol=tcp dst-port=593 action=drop

    41 ;;; ________
    chain=virus protocol=tcp dst-port=1024-1030 action=drop

    42 ;;; Drop MyDoom
    chain=virus protocol=tcp dst-port=1080 action=drop

    43 ;;; ________
    chain=virus protocol=tcp dst-port=1214 action=drop

    44 ;;; ndm requester
    chain=virus protocol=tcp dst-port=1363 action=drop

    45 ;;; ndm server
    chain=virus protocol=tcp dst-port=1364 action=drop

    46 ;;; screen cast
    chain=virus protocol=tcp dst-port=1368 action=drop

    47 ;;; hromgrafx
    chain=virus protocol=tcp dst-port=1373 action=drop

    48 ;;; cichlid
    chain=virus protocol=tcp dst-port=1377 action=drop

    49 ;;; Worm
    chain=virus protocol=tcp dst-port=1433-1434 action=drop

    50 ;;; Bagle Virus
    chain=virus protocol=tcp dst-port=2745 action=drop

    51 ;;; Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=2283 action=drop

    52 ;;; Drop Beagle
    chain=virus protocol=tcp dst-port=2535 action=drop

    53 ;;; Drop Beagle.C-K
    chain=virus protocol=tcp dst-port=2745 action=drop

    54 ;;; Drop MyDoom
    chain=virus protocol=tcp dst-port=3127-3128 action=drop

    55 ;;; Drop Backdoor OptixPro
    chain=virus protocol=tcp dst-port=3410 action=drop

    56 ;;; Worm
    chain=virus protocol=tcp dst-port=4444 action=drop
    57 ;;; Worm
    chain=virus protocol=udp dst-port=4444 action=drop

    58 ;;; Drop Sasser
    chain=virus protocol=tcp dst-port=5554 action=drop

    59 ;;; Drop Beagle.B
    chain=virus protocol=tcp dst-port=8866 action=drop

    60 ;;; Drop Dabber.A-B
    chain=virus protocol=tcp dst-port=9898 action=drop

    61 ;;; Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=10000 action=drop

    62 ;;; Drop MyDoom.B
    chain=virus protocol=tcp dst-port=10080 action=drop

    63 ;;; Drop NetBus
    chain=virus protocol=tcp dst-port=12345 action=drop

    64 ;;; Drop Kuang2
    chain=virus protocol=tcp dst-port=17300 action=drop

    65 ;;; Drop SubSeven
    chain=virus protocol=tcp dst-port=27374 action=drop

    66 ;;; Drop PhatBot, Agobot, Gaobot
    chain=virus protocol=tcp dst-port=65506 action=drop

    67 ;;; jump to the virus chain
    chain=forward action=jump jump-target=virus

    68 ;;; Port scanners to list
    chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    69 ;;; NMAP FIN Stealth scan
    chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    70 ;;; SYN/FIN scan
    chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    71 ;;; SYN/RST scan
    chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    72 ;;; FIN/PSH/URG scan
    chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    73 ;;; ALL/ALL scan
    chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    74 ;;; NMAP NULL scan
    chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w

    75 ;;; dropping port scanners
    chain=input src-address-list=port scanners action=drop


  4. Após aplicar os filtros acima, notarão que no ADDRESS LIST sempre aparecerão uns IPs com marca de negação (D), isto é normal, pois são tentativas que portscan onde os IPs automaticamente serão adicionados a lista e negados. Toda vez que reiniciar o MT essa lista será esvaziada.



  5. :-D massa.. grande Sergio!!!
    Os meu scritp eu fiz baseado neste wiki:

    http://wiki.mikrotik.com/wiki/Securi...outerOs_Router






Tópicos Similares

  1. Respostas: 14
    Último Post: 26-12-2008, 15:22
  2. Respostas: 5
    Último Post: 22-10-2008, 06:25
  3. Proxy transparente sem usar masquerade
    Por Slackdi no fórum Servidores de Rede
    Respostas: 3
    Último Post: 07-08-2008, 12:07
  4. - Servidor de impressao sem netbios, tem como ?
    Por evertonhorst no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-11-2007, 08:59
  5. atualizar ip para redirecionamento nat tem como?
    Por alanvictorjp no fórum Redes
    Respostas: 1
    Último Post: 20-09-2007, 22:10

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L