+ Responder ao Tópico



  1. #1

    Question Webbox - como clientes não verem?

    Olá galera,

    Como faço pra que ninguém enxergue a página Webbox? Quando ponho o Ip do servidor em qualquer cliente ela aparece! Gostaria de evitar isso, tem alguma regra específica?

    Obrigado desde já.

  2. #2

    Padrão

    Aí estão algumas regras que resolvem teu problema. Mas tem que CONFERIR MUITO BEM elas e adaptar a tua realidade antes de adicionar. Caso contrário, inclusive você fica sem acesso ao mikrotik.

    add chain=input connection-state=established action=accept comment="Aceptar conexiones establecidas" disabled=no
    add chain=input connection-state=related action=accept comment="Aceptar related conexiones" disabled=no
    add chain=input connection-state=invalid action=drop comment="Rechazar conexiones inválidas" disabled=no
    add chain=input src-address=!10.8.1.0/24 src-address-list="Intentos SSH" action=drop comment="Bloquear Lista SSH" disabled=no
    add chain=input src-address=!10.8.1.0/24 src-address-list="Lista Telnet" action=drop comment="Bloquea Lista Telnet" disabled=no
    add chain=input src-address=!10.8.1.0/24 src-address-list="Bloqueo de Invalidos Router" action=drop comment="Bloqueo Lista de Invalidos" disabled=no
    add chain=input src-address=!10.8.1.0/24 src-address-list="Entradas por FTP" action=drop comment="Bloquear Lista FTP" disabled=no
    add chain=input protocol=tcp dst-port=21 action=add-src-to-address-list address-list="Entradas por FTP" address-list-timeout=0s comment="Crea Lista de IPs que entran al FTP" disabled=no
    add chain=input protocol=tcp dst-port=21 action=accept comment="Aceptar Conexiones FTP" disabled=no
    add chain=input protocol=tcp dst-port=80 action=add-src-to-address-list address-list="Accesos Via Web" address-list-timeout=0s comment="Crea Lista de IPs que ven WebBox" disabled=no
    add chain=input protocol=tcp dst-port=80 action=accept comment="Acepta WebBox" disabled=no
    add chain=input protocol=udp action=accept comment="UDP" disabled=no
    add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Aceptar pings limitados" disabled=no
    add chain=input protocol=icmp action=drop comment="Rechazar pings execibos" disabled=no
    add chain=input protocol=tcp dst-port=23 action=add-src-to-address-list address-list="Lista Telnet" address-list-timeout=0s comment="Lista Telnet" disabled=no
    add chain=input protocol=tcp dst-port=23 action=accept comment="Acepta Telnet" disabled=no
    add chain=input protocol=tcp dst-port=22 action=add-src-to-address-list address-list="Intentos SSH" address-list-timeout=0s comment="Crea Lista de Entradas SSH" disabled=no
    add chain=input protocol=tcp dst-port=22 action=accept comment="SSH" disabled=no
    add chain=input src-address=10.8.1.0/24 action=accept comment="Conexiones desde la red Local" disabled=no
    add chain=input protocol=tcp dst-port=8291 action=add-src-to-address-list address-list=Winbox address-list-timeout=0s comment="Agrega IPs Que entran por Winbox" disabled=no
    add chain=input protocol=tcp dst-port=8291 action=log log-prefix="Entrada por Winbox" comment="Log entradas por WinBox" disabled=no
    add chain=input protocol=tcp dst-port=8291 action=accept comment="winbox" disabled=no
    add chain=input protocol=tcp dst-port=23 action=accept comment="Aceptar Conexiones Telnet" disabled=no
    add chain=input action=add-src-to-address-list address-list="Bloqueo de Invalidos Router" address-list-timeout=0s comment="Lista de IP por acciones fuera de reglas" disabled=no
    add chain=input action=drop comment="Rechazar todo lo demás" disabled=no

  3. #3

    Padrão

    aqui eu fiz uma regra simples:

    chain=input src-address=!192.168.2.0/24 protocol=tcp dst-port=83 action=drop

    essa regra dropa a porta do webbox q eu mudei pra 83 no MK vinda de qualquer ip, menos do range 192.168.2.0

    fiz uma assim pro winbox, mas vai q vc precise no cliente entra rapidao la, aih c ta ferrado...entao, melhor nao ter hehe

    abraços

  4. #4
    Moderador Avatar de xandemartini
    Ingresso
    Nov 2005
    Localização
    Espumoso, Brazil
    Posts
    2.405
    Posts de Blog
    1

    Padrão

    Citação Postado originalmente por falcaobr Ver Post
    Olá galera,

    Como faço pra que ninguém enxergue a página Webbox? Quando ponho o Ip do servidor em qualquer cliente ela aparece! Gostaria de evitar isso, tem alguma regra específica?

    Obrigado desde já.
    Aqui eu simplesmente mudei a porta 80 para 8081... qdo preciso acessar o webbox (friso que quase nunca preciso) digito por exemplo http://192.168.4.225:8081 e pronto...

  5. #5

    Padrão

    pessao como o xande martini falou é o melhor jeito e vc pode definir qual ip quer que acesse e pronto ningeum mais acessa.

    vá em ip-services - no serviço www, coloque uma outra porta, e em available from coloque o unico ip que vc quer que acesse o webbox, e pronto.

  6. #6

    Thumbs up Problema resolvido

    Blz galera!

    Vou logo agradecendo a todos:

    O Antoni passou uma série de regras que vou ter que ir testando como ele mesmo disse, com cuidado... foi beleza, obrigado Antoni, vou testar uma por uma.

    Thenet, obrigadão! Testei, mas me enrolei e acho que não consegui mudar a porta pra mesma 83 que vc usou!

    Xandemartini, resolveu de uma vez, matou a charada e Jhonnyp complementou e consegui resolver. Funcionou beleza.

    É isso aí galera, estou aprendendo muito com vocês. Todos com muito conhecimento pra repassar e sem nenhuma restrição. sem cobrar nada como muitos fazem por aí! Espero um dia poder fazer o mesmo e colaborar com todos, ajudando a muita gente!

    Forte abraço e tudo de bom a todos.

  7. #7

    Padrão

    Citação Postado originalmente por falcaobr Ver Post
    Blz galera!

    Vou logo agradecendo a todos:

    O Antoni passou uma série de regras que vou ter que ir testando como ele mesmo disse, com cuidado... foi beleza, obrigado Antoni, vou testar uma por uma.

    Thenet, obrigadão! Testei, mas me enrolei e acho que não consegui mudar a porta pra mesma 83 que vc usou!

    Xandemartini, resolveu de uma vez, matou a charada e Jhonnyp complementou e consegui resolver. Funcionou beleza.

    É isso aí galera, estou aprendendo muito com vocês. Todos com muito conhecimento pra repassar e sem nenhuma restrição. sem cobrar nada como muitos fazem por aí! Espero um dia poder fazer o mesmo e colaborar com todos, ajudando a muita gente!

    Forte abraço e tudo de bom a todos.
    depois q vc testar essas regras todas posta aqui pra mos o resultado.

  8. #8

    Padrão

    pessoal...

    quem é novo com o sistema tem uma certa dificuldade mesmo no começo, e com o tempo adquire mais confiança e experiência...

    mas vejo em vários tópicos as pessoas simplesmente pedindo uma receita de bolo pronta e outros sempre perguntando pra que serve isso, pra que serve aquilo...

    as regras de firewall do mikrotik são bem fáceis de entender...

    não seria mais fácil saber pra que serve cada parâmetro do comando do? assim é possível identificar a finalidade de uma regra quando vista... desta forma já vê se a regra é interessante ao seu caso ou é descartada...

    garanto que muta gente deve ter umas 50 regras repetidas... (apesar que não sei se o mikrotik aceita regra repetida)...

    vamos estudar um pouquinho aí também pessoal, na receita não tem o que fazer quando o bolo batuma...

  9. #9

    Padrão

    Citação Postado originalmente por thenet Ver Post
    aqui eu fiz uma regra simples:

    chain=input src-address=!192.168.2.0/24 protocol=tcp dst-port=83 action=drop

    essa regra dropa a porta do webbox q eu mudei pra 83 no MK vinda de qualquer ip, menos do range 192.168.2.0

    fiz uma assim pro winbox, mas vai q vc precise no cliente entra rapidao la, aih c ta ferrado...entao, melhor nao ter hehe

    abraços
    Seria possível, com a mesma regra eu liberar vários IPs fixos para acessar via winbox??? Trocaria apenas o IP??? Poderia ser Ip válido de outra rede??

    grato

  10. #10

    Padrão

    é o que sempre digo... se não buscar entender o próprio trabalho fica complicado...

    essa regra bloqueia tudo, menos a rede 192.168.2.0/24, que vai do 192.168.2.1 ao 192.168.2.254

    se os IPs fixos que você quer liberar estiverem dentro da mesma faixa basta apenas alterar a faixa de IPs, mas se estiverem em faixas diferentes você precisa mudar a máscara da sub rede ou bloquear tudo e liberar apenas os espefícicos...

    lembrando, a regra acima libera para uma faixa inteira, o que é uma falta de segurança, pois se esta faixa for a faixa usada pelos clientes os mesmos poderão ter acesso ao serviço...

    o bom mesmo é liberar determinados IPs e bloquear o resto...

  11. #11

    Padrão

    Citação Postado originalmente por lucianogf Ver Post
    pessoal...

    quem é novo com o sistema tem uma certa dificuldade mesmo no começo, e com o tempo adquire mais confiança e experiência...

    mas vejo em vários tópicos as pessoas simplesmente pedindo uma receita de bolo pronta e outros sempre perguntando pra que serve isso, pra que serve aquilo...

    as regras de firewall do mikrotik são bem fáceis de entender...

    não seria mais fácil saber pra que serve cada parâmetro do comando do? assim é possível identificar a finalidade de uma regra quando vista... desta forma já vê se a regra é interessante ao seu caso ou é descartada...

    garanto que muita gente deve ter umas 50 regras repetidas... (apesar que não sei se o mikrotik aceita regra repetida)...

    vamos estudar um pouquinho aí também pessoal, na receita não tem o que fazer quando o bolo batuma...
    É por aí mesmo lucianogf.

    Muitos pegam as regras prontas e inserem no mk sem ao menos alterar a faixa de IPs que está na regra, adequando a ao servidor onde será instalado. O mikrotik aceita regras repetidas numa boa, sem problema nenhum.

    Estes dias mesmo um amigo aí do forum entrou em contato porque adicionou todas as regras e ficou sem acesso ao mk. Conversando, descobri que ele adicionou as regras sem alterar os IPs que seriam usados por ele.

  12. #12
    fabiano2006
    Visitante

    Padrão

    E ahe galera blz?? então pessoal no meu mikrotik , fiz assim para os clientes nao ter acesso ao webbox, dentro do winbox , vá em ip > Service > e la vc pode setar somente o ip que vc deseja que acesse pelo webbox , ou vc clica emcima do www , e desabilita ele , ai um abraço !!!!