+ Responder ao Tópico



  1. #1

    Padrão Regras para travar ping

    fala galera!

    eu to precisando saber e ter (hehe), alguma regra que fassa com que os clientes (faixa de ip 192.168.1.x por exemplo) nao pingue o MK em que estão conectadas (192.168.x.1) nem o DNS delas q no caso é o gateway da minha rede de MK.

    Existe alguma coisa assim?

    nao posso travar todos pingues pq eu na minah rede tenho q pingar normalmente!


    Valew a todos desde ja!

  2. #2

    Padrão

    nao existe ou ninguem tentou algo assim?!


    por favor galera

    valeww



  3. #3

    Padrão Dropar ping

    Tem jeito sim amigo..

    Pelo o que entendi vc pode fazer o seguinte vai em ip firewall add chain forward protocol icmp. action drop.

    tambem essa aqui ip firewall add chain input protocol icmp action drop, para liberar os pings faixas de redes é so ir dentro dessas regras na opção src address vc colocar a faixa desejada e marcar um interrogação na frente dela, fazendo isso ele não vai bloquear as conexões icmp vindos dessas faixas...

    Qualquer coisa estamos ai

    t+

  4. #4

    Padrão

    Citação Postado originalmente por gilbertoandrade Ver Post
    Tem jeito sim amigo..

    Pelo o que entendi vc pode fazer o seguinte vai em ip firewall add chain forward protocol icmp. action drop.

    tambem essa aqui ip firewall add chain input protocol icmp action drop, para liberar os pings faixas de redes é so ir dentro dessas regras na opção src address vc colocar a faixa desejada e marcar um interrogação na frente dela, fazendo isso ele não vai bloquear as conexões icmp vindos dessas faixas...

    Qualquer coisa estamos ai

    t+

    putz, perfeito gilberto!
    deu certinho tudo aqui essa regra! excelente mesmo cara!

    brigadao cara!

    valew
    abraço!



  5. #5

    Padrão

    Citação Postado originalmente por gilbertoandrade Ver Post
    Tem jeito sim amigo..

    Pelo o que entendi vc pode fazer o seguinte vai em ip firewall add chain forward protocol icmp. action drop.

    tambem essa aqui ip firewall add chain input protocol icmp action drop, para liberar os pings faixas de redes é so ir dentro dessas regras na opção src address vc colocar a faixa desejada e marcar um interrogação na frente dela, fazendo isso ele não vai bloquear as conexões icmp vindos dessas faixas...

    Qualquer coisa estamos ai

    t+
    amigo, fiz as regras e funcionaram mas to com um problema!

    fiz as 2, e elas travam até o ping q eu envio aos clientes, isso pra mim é ruim, nao teria como eu travar o ping q os clientes me enviam e liberar para q eu envie a eles??

    obrigado!

  6. #6

    Padrão Ping

    Citação Postado originalmente por thenet Ver Post
    amigo, fiz as regras e funcionaram mas to com um problema!

    fiz as 2, e elas travam até o ping q eu envio aos clientes, isso pra mim é ruim, nao teria como eu travar o ping q os clientes me enviam e liberar para q eu envie a eles??

    obrigado!
    Amigo como q vc ta fazendo esse ping ate os clientes? De dentro do mk mesmo ta mandando pingar? Ou de uma maquina de fora do mk? Se quiser liberar o seu ip por exemplo que vamos supor que é uma maquina de fora do mk para pingar em algum cliente vc faz o seguinte. Antes das regras de bloqueio de ping (icmp), vc adiciona um regra assim: ip firewall add chain forward src address (o seu ip que vai pingar nos clientes). protocol icmp em action accept. Fazendo isso ele vai liberar o seu ip para pingar nos clientes e dropar seus clientes de pingar externamente.


    Qualquer coisa estamos ai.. t+



  7. #7

    Padrão

    Citação Postado originalmente por gilbertoandrade Ver Post
    Amigo como q vc ta fazendo esse ping ate os clientes? De dentro do mk mesmo ta mandando pingar? Ou de uma maquina de fora do mk? Se quiser liberar o seu ip por exemplo que vamos supor que é uma maquina de fora do mk para pingar em algum cliente vc faz o seguinte. Antes das regras de bloqueio de ping (icmp), vc adiciona um regra assim: ip firewall add chain forward src address (o seu ip que vai pingar nos clientes). protocol icmp em action accept. Fazendo isso ele vai liberar o seu ip para pingar nos clientes e dropar seus clientes de pingar externamente.


    Qualquer coisa estamos ai.. t+
    o que preciso gilberto, é o seguinte:
    quero pingar pelo MK o cliente e nao quero que o cliente pingue o MK..consigui fazer isso, ele nao pinga nenhum MK...mas eu, pelo MK em q o cliente esta conectado, nao pingo o cliente, se eu libero para pingar o cliente, ele consegue me pinga..


    valew pela ajuda

  8. #8

    Padrão

    Amigo vc pode fazer o seguinte, expecificar qual interface sera filtrada, no seu caso vc tem que especificar que na chain input protocol icmp in interface (sua placa de clientes) depois em action drop.

    Dai vc vai conseguir pingar nos seu clientes de dentro do seu mk mais eles não vão conseguir pingar em vc.

    Estas regras de firewall ate que estejam bem acertadas é bem trabalhoso mais compença. Se eu entendi bem vai resolver, se precisar de algo é so falar..


    t++

    Citação Postado originalmente por thenet Ver Post
    o que preciso gilberto, é o seguinte:
    quero pingar pelo MK o cliente e nao quero que o cliente pingue o MK..consigui fazer isso, ele nao pinga nenhum MK...mas eu, pelo MK em q o cliente esta conectado, nao pingo o cliente, se eu libero para pingar o cliente, ele consegue me pinga..


    valew pela ajuda



  9. #9

    Padrão

    Citação Postado originalmente por gilbertoandrade Ver Post
    Amigo vc pode fazer o seguinte, expecificar qual interface sera filtrada, no seu caso vc tem que especificar que na chain input protocol icmp in interface (sua placa de clientes) depois em action drop.

    Dai vc vai conseguir pingar nos seu clientes de dentro do seu mk mais eles não vão conseguir pingar em vc.

    Estas regras de firewall ate que estejam bem acertadas é bem trabalhoso mais compença. Se eu entendi bem vai resolver, se precisar de algo é so falar..


    t++
    amigo, tentei fazer isso e deu a mesma coisa, desabilitei todas que tinha, fiz essa e com ela ativada nem o Mk pinga o cliente nem o cliente o MK, quando desativo, os 2 pingam normalmente.

    andei estudando e as regras estao certas, sera q nao tem o que fazer?


    valew msm amigoo!

  10. #10

    Padrão

    poderia fazer em vez de bloquear todo o protocolo ICMP em tal interface, bloquear só as redes de destino e de origem por exemplo:

    ip firewall filter add chain=forward src-address=192.168.x.0/24 dst-address=192.168.0.0/24
    protocol=icmp action=drop


    assim todos pacotes ICMP que vierem da rede 192.168.x.0/24 q forem destinados a rede 192.168.0.0/24 seram filtrados

    caso tenha mais de 1 rede de MKs e clientes é so criar uma regra para cada rede
    Última edição por undrtkr; 25-04-2007 às 22:57.