Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Firewall no mikrotik por onde comeco

    ae galera se algum poder mim ajuda estou iniciando nesse sistema maravilho estou implantando autenticacao pppoe q gostaria de vcs, por onde comeco algumas regras basicas de seguranca. Obrigado

  2. #2

    Padrão

    Citação Postado originalmente por diegovilela01 Ver Post
    ae galera se algum poder mim ajuda estou iniciando nesse sistema maravilho estou implantando autenticacao pppoe q gostaria de vcs, por onde comeco algumas regras basicas de seguranca. Obrigado
    Basicamente o obrigatório é a regra de NAT (no manual passo-a-passo). O firewall é uma coisa personalizada e normalmente é confeccionado de acordo com a rede e com os problemas alheios que podem vir a aparecer. Basicamente, aconselho na aba "filter" que você insira os procedimentos para limitar conecções simultânes (manual passo-a-passo) e as regras de controle de P2P no mangle do firewall (manual passo-a-passo). O resto é complemento e pode ser confeccionado de acordo com as necessidades...

    PS: Cuidado com regras aparentemente sem nexo. O firewall é uma faca de dois gumes e pode ser uma função maravilhosa, como pode ser também um terror mal configurado.

    FIREWALL (ABAS)

    FILTER = Nesta aba você cria basicamente regras de entrada, saida e internas. Regras basicas de bloqueio ou liberação são feitas aqui.

    NAT = Esta parte do firewall você realiza redirecionamentos em geral.

    MANGLE = Nesta parte do firewall que você faz marcações de pacotes e reencaminhamentos. Aqui você marca pacotes, protocolos, portas e quase tudo. Você também pode enviar estes pacotes para várias partes do MK.

    SERVICE PORTS = Aqui mostra todas as portas e protocolos padrões habilitados no MK.

    CONNECTIONS = Log de conexões, com portas, ips, protocolos, marcações de pacotes e também tempo e estatus da conexão.

    ADDRESS LIST = Mostra todos os ips enviados para listas. Para funcionar deve ser configurado em uma das abas (filter, nat ou mangle). Serve para armazenar em listas, relatórios específicos. Exemplo: Pode-se mandar entrar em uma lista específica, pacotes de virus específicos, para posterior análize. Entre outras funções.

    Acima: Eu mesmo. Não retirado de nenhum lugar. Retirado, bem resumido do proximo livro (MK).



  3. #3

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Basicamente o obrigatório é a regra de NAT (no manual passo-a-passo). O firewall é uma coisa personalizada e normalmente é confeccionado de acordo com a rede e com os problemas alheios que podem vir a aparecer. Basicamente, aconselho na aba "filter" que você insira os procedimentos para limitar conecções simultânes (manual passo-a-passo) e as regras de controle de P2P no mangle do firewall (manual passo-a-passo). O resto é complemento e pode ser confeccionado de acordo com as necessidades...

    PS: Cuidado com regras aparentemente sem nexo. O firewall é uma faca de dois gumes e pode ser uma função maravilhosa, como pode ser também um terror mal configurado.

    FIREWALL (ABAS)

    FILTER = Nesta aba você cria basicamente regras de entrada, saida e internas. Regras basicas de bloqueio ou liberação são feitas aqui.

    NAT = Esta parte do firewall você realiza redirecionamentos em geral.

    MANGLE = Nesta parte do firewall que você faz marcações de pacotes e reencaminhamentos. Aqui você marca pacotes, protocolos, portas e quase tudo. Você também pode enviar estes pacotes para várias partes do MK.

    SERVICE PORTS = Aqui mostra todas as portas e protocolos padrões habilitados no MK.

    CONNECTIONS = Log de conexões, com portas, ips, protocolos, marcações de pacotes e também tempo e estatus da conexão.

    ADDRESS LIST = Mostra todos os ips enviados para listas. Para funcionar deve ser configurado em uma das abas (filter, nat ou mangle). Serve para armazenar em listas, relatórios específicos. Exemplo: Pode-se mandar entrar em uma lista específica, pacotes de virus específicos, para posterior análize. Entre outras funções.

    Acima: Eu mesmo. Não retirado de nenhum lugar. Retirado, bem resumido do proximo livro (MK).


    Valeu cara muito obrigado pelas dicas. Agora so falta configurar bloquear e liberar os pacotes.flw

  4. #4

    Padrão

    Citação Postado originalmente por diegovilela01 Ver Post
    Valeu cara muito obrigado pelas dicas. Agora so falta configurar bloquear e liberar os pacotes.flw
    Que tipo de regra você precisa??



  5. #5

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Que tipo de regra você precisa??
    regra pra bloquear virus!!!

  6. #6

    Padrão

    Citação Postado originalmente por diegovilela01 Ver Post
    regra pra bloquear virus!!!
    ip firewall filter
    add chain=virus protocol=tcp dst-port=445 action=drop comment="bloqueio de \
    VIRUS conhecidos" disabled=no
    add chain=virus protocol=udp dst-port=445 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=593 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1080 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1363 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1364 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1373 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1377 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1368 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1214 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop \
    Blaster Worm" disabled=no
    add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop \
    Messenger Worm" disabled=no
    add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster \
    Worm" disabled=no
    add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster \
    Worm" disabled=no
    add chain=virus protocol=tcp dst-port=593 action=drop comment="________" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1214 action=drop comment="________" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm" \
    disabled=no
    add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus" \
    disabled=no
    add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y" \
    disabled=no
    add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle" \
    disabled=no
    add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop \
    Beagle.C-K" disabled=no
    add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="Drop \
    porta proxy" disabled=no
    add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor \
    OptixPro" disabled=no
    add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm" \
    disabled=no
    add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm" \
    disabled=no
    add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser" \
    disabled=no
    add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B" \
    disabled=no
    add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop \
    Dabber.A-B" disabled=no
    add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop \
    Dumaru.Y" disabled=no
    add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop \
    MyDoom.B" disabled=no
    add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus" \
    disabled=no
    add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2" \
    disabled=no
    add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop \
    SubSeven" disabled=no
    add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, \
    Agobot, Gaobot" disabled=no



    aew amigo, essas regras aew, peguei aqui msm no forum,,
    deve ter mais,,
    se axar,, posta
    flw



  7. #7

  8. #8

    Padrão

    vcs usam essas regras?

    aqui nao uso, ja as utilizei sempre contabilizava algo em algumas delas, porem na duvida se realmente estavam bloqueando virus ou nao, retirei-as.



  9. #9

    Padrão

    Olá galera... eu acabei de ler esse diálogo e gostei da explicação do nosso amigo...

    explicando resumidamente cada campo de conf...

    eu gostaria de saber se algum de vós pode me indicar um link com mais explicação
    sobre parametros de configuração!


    desde já agradeço!

  10. #10

    Padrão

    Citação Postado originalmente por alanvictorjp Ver Post
    ip firewall filter
    add chain=virus protocol=tcp dst-port=445 action=drop comment="bloqueio de \
    VIRUS conhecidos" disabled=no
    add chain=virus protocol=udp dst-port=445 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=593 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1080 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1363 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1364 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1373 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1377 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1368 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1214 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop \
    Blaster Worm" disabled=no
    add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop \
    Messenger Worm" disabled=no
    add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster \
    Worm" disabled=no
    add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster \
    Worm" disabled=no
    add chain=virus protocol=tcp dst-port=593 action=drop comment="________" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1214 action=drop comment="________" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm" \
    disabled=no
    add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus" \
    disabled=no
    add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y" \
    disabled=no
    add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle" \
    disabled=no
    add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop \
    Beagle.C-K" disabled=no
    add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="Drop \
    porta proxy" disabled=no
    add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor \
    OptixPro" disabled=no
    add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm" \
    disabled=no
    add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm" \
    disabled=no
    add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser" \
    disabled=no
    add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B" \
    disabled=no
    add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop \
    Dabber.A-B" disabled=no
    add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop \
    Dumaru.Y" disabled=no
    add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop \
    MyDoom.B" disabled=no
    add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus" \
    disabled=no
    add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2" \
    disabled=no
    add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop \
    SubSeven" disabled=no
    add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, \
    Agobot, Gaobot" disabled=no



    aew amigo, essas regras aew, peguei aqui msm no forum,,
    deve ter mais,,
    se axar,, posta
    flw
    Faltou vc posta para o colega antes de todas essas regras ai as regras de jump para ser criada a chain "virus", pois do jeito q esta não irá funcionar nenhuma.



  11. #11

    Padrão

    Citação Postado originalmente por kryseck Ver Post
    Faltou vc posta para o colega antes de todas essas regras ai as regras de jump para ser criada a chain "virus", pois do jeito q esta não irá funcionar nenhuma.
    Amigo, e qual seria esta regra, posta aí pra gente....

  12. #12

    Smile Bloqueio / Liberacao De Forward

    Citação Postado originalmente por catvbrasil Ver Post
    Que tipo de regra você precisa??
    AMIGO PODERIA ME AJUDAR DIZENDO COMO POSSO IMPLEMENTAR QUE APENAS OS USUARIOS LISTADOS EM UMA ADDRESS LIST POSSAM SER LIBERADOS PARA SEREM ROTEADOS...?
    ?
    ?



  13. #13

    Padrão

    Citação Postado originalmente por faieppi Ver Post
    Amigo, e qual seria esta regra, posta aí pra gente....
    / ip firewall filter
    add chain=forward action=jump jump-target=virus protocol=tcp comment="Cria jumps para novas chains" disabled=no

    blz?!

  14. #14

    Padrão

    Citação Postado originalmente por kryseck Ver Post
    / ip firewall filter
    add chain=forward action=jump jump-target=virus protocol=tcp comment="Cria jumps para novas chains" disabled=no

    blz?!
    Blz, valeu kara, vou add as regras no meu MK....



  15. #15

    Padrão

    Citação Postado originalmente por kryseck Ver Post
    Faltou vc posta para o colega antes de todas essas regras ai as regras de jump para ser criada a chain "virus", pois do jeito q esta não irá funcionar nenhuma.
    Bem pelo que vi ele criou a Chain VIRUS e listou os parametros de marcação então todos os pacotes estão devidamente marcados, so falta add chain forward, action jump, jump target= VIRUS.

  16. #16

    Padrão

    Isso mesmo colega SHREK...tmb postei a regra acima como o colega faieppi pediu.

    obs.: a regra tem q ser antes das outras.



  17. #17

    Padrão Outra pergunta

    Estou eu aki estudando para configuração do meu firewall... e me sugiu a seguinte pergunta...
    Posso bloquear todos os acessos de qm entra da rede e liberar para os clientes? ex:
    o cara fura minha senha de rede e acessa, mas se o ip ou o mac (pelo mac seria mais interessante) dele naum estiver liberado no firewall ele bloquea a navegação!

    isso eh possivel?

  18. #18

    Padrão

    Citação Postado originalmente por kryseck Ver Post
    Faltou vc posta para o colega antes de todas essas regras ai as regras de jump para ser criada a chain "virus", pois do jeito q esta não irá funcionar nenhuma.


    Isso mesmo, bem observado!!!



  19. #19

    Padrão

    Citação Postado originalmente por mauricionofre Ver Post
    Estou eu aki estudando para configuração do meu firewall... e me sugiu a seguinte pergunta...
    Posso bloquear todos os acessos de qm entra da rede e liberar para os clientes? ex:
    o cara fura minha senha de rede e acessa, mas se o ip ou o mac (pelo mac seria mais interessante) dele naum estiver liberado no firewall ele bloquea a navegação!

    isso eh possivel?
    Sim!!!


    Configura todos os ip's e mac's no ''''ip-arp'' depois seta a interface local para reply-only, depois disso só navega aquele ip com aquele mac, se não estiver na lista ARP o cara mesmo que entre não navega.


    Abração.

  20. #20

    Padrão

    Citação Postado originalmente por Roberto21 Ver Post
    Sim!!!


    Configura todos os ip's e mac's no ''''ip-arp'' depois seta a interface local para reply-only, depois disso só navega aquele ip com aquele mac, se não estiver na lista ARP o cara mesmo que entre não navega.


    Abração.
    Cara... se nem sabe como me ajudou!!!
    achei q teria que fazer tudo no firewall... valeu!!