-
Configuração Firewall Mikrotik
Galera necessito de uma ajuda, estou colocando um MK na rede que só tem um servidor de terminal server. Vou criar uma vpn, para conexão de fora e assim conectar no servidor via TS. Quero configurar o firewall, para bloquear tudo, menos a porta da conexão remota, vpn e acesso a ele via rede local mesmo por winbox. estou tendo dificuldades com isso!! poderia dar dicas, desde já agradeço!!
-
Citação:
Postado originalmente por
sn0wt
Galera necessito de uma ajuda, estou colocando um MK na rede que só tem um servidor de terminal server. Vou criar uma vpn, para conexão de fora e assim conectar no servidor via TS. Quero configurar o firewall, para bloquear tudo, menos a porta da conexão remota, vpn e acesso a ele via rede local mesmo por winbox. estou tendo dificuldades com isso!! poderia dar dicas, desde já agradeço!!
Crie uma regra com chain=FORWARD e action=ACCEPT para o IP do servidor e porta do terminal server.
Crie regras liberando acesso da lan para internet (FORWARD) e da lan para o próprio MK (INPUT).
Libere a(s) porta(s) e protocolos para a vpn.
No final de todas as regras de liberação, adicione uma bloqueando todo o tráfego que não foi especificado antes (DROP).
Não esqueça do dst-NAT para acessar o TS de fora se ele estiver com ip privado.
Na wiki do Mikrotik você encontra mais sobre firewall: http://wiki.mikrotik.com/wiki/Firewall
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
FMVC10
Crie uma regra com chain=FORWARD e action=ACCEPT para o IP do servidor e porta do terminal server.
Crie regras liberando acesso da lan para internet (FORWARD) e da lan para o próprio MK (INPUT).
Libere a(s) porta(s) e protocolos para a vpn.
No final de todas as regras de liberação, adicione uma bloqueando todo o tráfego que não foi especificado antes (DROP).
Não esqueça do dst-NAT para acessar o TS de fora se ele estiver com ip privado.
Na wiki do Mikrotik você encontra mais sobre firewall:
http://wiki.mikrotik.com/wiki/Firewall
Amigo obrigado pela resposta.
A vpn e regras para liberação, ta ok, já consegui!!
Essa regra chain=FORWARD e action=ACCEPT para o ip do servidor e porta do TS, seria uma NAT? como seria essa regra?
Essas regras liberando acesso da lan para internet e lan MK(INPUT), seria para n perder acesso ao MK? como seria essa regra?
Obrigado
-
Re: Configuração Firewall Mikrotik
A vpn está funcionando, consigo conectar, mas mesmo sem regras de firewall, não consigo pingar e nem conectar na máquina via TS. Algumas dicas ai
-
Re: Configuração Firewall Mikrotik
A faixa de ip do cliente vpn tem que ser diferente da usada na rede local
-
Re: Configuração Firewall Mikrotik
Obrigado deu certo!! consigo conectar no TS.
Agora sobre as regras do firewall, conforme explicação lá em cima.
Preciso liberar o TS no servidor, a vpn(já tenho as regras) e bloquear o resto tudo!
Fiz uma regra de drop e forward de todas as portas, ai bloqueia a conexão do TS, qual seria a regra para liberar?
-
Re: Configuração Firewall Mikrotik
Faz uma regra de aceept para com destino o servidor TS e porta TCP 3389, e deixe esse regra acima da regra de drop.
Não esqueça as estrelas ;)
-
Citação:
Postado originalmente por
berghetti
Faz uma regra de aceept para com destino o servidor TS e porta TCP 3389, e deixe esse regra acima da regra de drop.
Não esqueça as estrelas ;)
Não está dando certo!!
Fiz essa regra de bloqueio, n sei se está certa: Chain: forward / Protocol: (6)tcp / Dst. Port: 0-65535 / Action: drop
A regra de liberação seria: Chain: Input / Dst. Address: IP Servidor TS / Protocol: (6)tcp / Dst. Port: 3389 / Action: accept
Ta faltando algo?
-
Re: Configuração Firewall Mikrotik
Tenta colocar a regra de liberação na chain forward, e coloque acima da de bloqueio.
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
Tenta colocar a regra de liberação na chain forward, e coloque acima da de bloqueio.
Mudei aqui, mas não deu certo ainda!!
-
Re: Configuração Firewall Mikrotik
Sem a regra de drop funciona tudo certo?
E quando tem a regra, você chega a se conectar na vpn?
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
Sem a regra de drop funciona tudo certo?
E quando tem a regra, você chega a se conectar na vpn?
Funciona TS sim se desabilitar a regra de drop!! A vpn funciona pq tem duas regras de accept, porta 1723 e 47(gre).
-
Re: Configuração Firewall Mikrotik
Na regra de aceept, deixe sem porta de destino, coloque apenas o IP do servidor TS. E teste.
-
1 Anexo(s)
Citação:
Postado originalmente por
berghetti
Na regra de aceept, deixe sem porta de destino, coloque apenas o IP do servidor TS. E teste.
Nada ainda!! olha ai como está!!
Anexo 60572
-
Re: Configuração Firewall Mikrotik
Tente criar uma regra de aceept com IP do origem o servidor TS, e o de destino a faixa de ip do cliente vpn
-
Citação:
Postado originalmente por
berghetti
Tente criar uma regra de aceept com IP do origem o servidor TS, e o de destino a faixa de ip do cliente vpn
Cara deu certo, muito obrigado!!
Mais uma dúvida, com essa regra de bloqueio, tb bloqueia a navegação na rede. Quais regras teria que criar para liberar a navegação? No print ali, eu criei tres regras, accept porta http, https e dns. mas mesmo assim n navega!!
-
Re: Configuração Firewall Mikrotik
Opa blz, então não esquece minha estrela rsrs
Sobre a navegação,. Colocou o IP de origem a faixa de ip interna na regra?
-
Re: Configuração Firewall Mikrotik
@sn0wt
A regra que você fez de porta FTP, eu creio ser mais seguro desativar em Firewall / Services Ports.
Assim como outros serviços ali listados que não forem utilizados no seu atual cenário.
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
Opa blz, então não esquece minha estrela rsrs
Sobre a navegação,. Colocou o IP de origem a faixa de ip interna na regra?
Seria na Src. Address? Assim? se for não deu certo!
Anexo 60573
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
Dimas
@
sn0wt
A regra que você fez de porta FTP, eu creio ser mais seguro desativar em Firewall / Services Ports.
Assim como outros serviços ali listados que não forem utilizados no seu atual cenário.
To ligado cara, obrigado, mas aquela ali é só para teste mesmo, aprendizado. Vou desativar sim os serviços la!!
-
Re: Configuração Firewall Mikrotik
Não está aparecendo seu último anexo
mas só para lembrar requisições dns usa TCP e UDP, tem que criar duas regras, se a rede usar o MK como dns crie na chain input , se utilizar um dns público crie a regra na chain forward, e as portas 80 e 443 a regra na chain forward.
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
Não está aparecendo seu último anexo
mas só para lembrar requisições dns usa TCP e UDP, tem que criar duas regras, se a rede usar o MK como dns crie na chain input , se utilizar um dns público crie a regra na chain forward, e as portas 80 e 443 a regra na chain forward.
Usa o MK como DNS, mudei, mas mesmo assim não liberou, olha como está o FW: Anexo 60574
-
Re: Configuração Firewall Mikrotik
Não abriu a imagem, mas olhei a que você tinha postado antes e as regras estavam na chain input, tem que ser na chain forward, só para testes use um dns público e libere o dns na chain forward também
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
Não abriu a imagem, mas olhei a que você tinha postado antes e as regras estavam na chain input, tem que ser na chain forward, só para testes use um dns público e libere o dns na chain forward também
Fiz aqui, mas n deu!! olha a imagem ai:
http://tinypic.com/view.php?pic=34yw...8#.VcazA_lVhBc
-
Re: Configuração Firewall Mikrotik
A chain do dns está input, troque para forward e use um dns público (8.8.8.8) para teste.
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
A chain do dns está input, troque para forward e use um dns público (8.8.8.8) para teste.
Ta como vc falou: http://tinypic.com/r/2hq72md/8
Outra coisa, essa regra de drop tá furada né, pois só drop as portas tcp e o resto? queria uma regra que drop tudo que não foi mencionado a cima.
-
Re: Configuração Firewall Mikrotik
Sobre a regra de bloqueio geral é só desmarcar o campo TCP e deixar em branco que vai pegar qualquer tráfego.
Sobre a a navegação, sem a regra de drop funciona? E tente marcar o campo de estado da conexão new
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
Sobre a regra de bloqueio geral é só desmarcar o campo TCP e deixar em branco que vai pegar qualquer tráfego.
Sobre a a navegação, sem a regra de drop funciona? E tente marcar o campo de estado da conexão new
Blz desmarquei o campo TCP!! Sobre a navegação, sim, sem a regra drop funciona normalmente!! O que seria esse campo de estado da conexão new? onde é isso? Sou leigo ainda cara, to aprendendo kkk
olha ai como está: http://tinypic.com/r/24m6tlw/8
-
Re: Configuração Firewall Mikrotik
Sobre o campo new é para aceitar todas conexões iniciadas pela rede interna, fica na aba general, uma das últimas opções, se não der certo, também tente.criar uma regra com a chain forward com IP de destino a faixa de ip da rede interna, e claro action aceept.
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
Sobre o campo new é para aceitar todas conexões iniciadas pela rede interna, fica na aba general, uma das últimas opções, se não der certo, também tente.criar uma regra com a chain forward com IP de destino a faixa de ip da rede interna, e claro action aceept.
Ok, mas seria em qual regra? dns, http e https ?
viu ae como esta? http://tinypic.com/r/24m6tlw/8
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
se não der certo, também tente.criar uma regra com a chain forward com IP de destino a faixa de ip da rede interna, e claro action aceept.
Criei essa regra: Chain: Forward / Dst. Address: 192.168.2.0/24 / Action: accept
Funcionou a navegação, mas posso estar errado, ela n estaria liberando tudo na rede? ai a regra de drop n serviria para nda!!
-
Re: Configuração Firewall Mikrotik
É assim, como você tem uma regra que bloqueia tudo, tem que liberar a comunicações do retorno da conexão.
Por exemplo, você acessa um site na porta 80 ( blz o firewall vai aceita, porque você fez a regra para aceitar), mas o site vai responder para você em outra porta aleatória e essa porta estará bloqueada pelo regra de drop geral, aí liberando o destino sua faixa local, a conexão é aceita.
Coloque como interface de entrada a interface do link, nessa regra que você criou onde o DST adress é a rede local, aí você estará limitando a regra apenas as conexões vindas da internet, fazendo assim sentido novamente a regra de drop geral ;)
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
É assim, como você tem uma regra que bloqueia tudo, tem que liberar a comunicações do retorno da conexão.
Por exemplo, você acessa um site na porta 80 ( blz o firewall vai aceita, porque você fez a regra para aceitar), mas o site vai responder para você em outra porta aleatória e essa porta estará bloqueada pelo regra de drop geral, aí liberando o destino sua faixa local, a conexão é aceita.
Coloque como interface de entrada a interface do link, nessa regra que você criou onde o DST adress é a rede local, aí você estará limitando a regra apenas as conexões vindas da internet, fazendo assim sentido novamente a regra de drop geral ;)
Ok, entendi. ficou assim então: Chain: Forward / Dst. Address: 192.168.2.0/24 / In. Interface: link internet / Action: accept
minha rede vai ficar protegida mesmo ne?
Outra coisa, tem algum jeito, talvez pelo terminal, de listar todas as regras, para poder copiar e colar aqui por exemplo, para n ficar fazendo print??
-
Re: Configuração Firewall Mikrotik
Só digitar export no terminal, vai listar toda a configuração.
-
Citação:
Postado originalmente por
berghetti
Só digitar export no terminal, vai listar toda a configuração.
Ficou assim o FW:
Código :
add action=accept chain=forward comment="Winbox Interno" disabled=no \ dst-port=8291 out-interface=Lan protocol=tcp
add action=accept chain=input comment="Libera Winbox de fora rede." disabled=\
no dst-port=8291 protocol=tcp
add action=accept chain=input comment="Libera VPN" disabled=no dst-port=1723 \
protocol=tcp
add action=accept chain=input disabled=no protocol=gre
add action=accept chain=forward comment=":::::: Libera Internet :::::" \
disabled=no dst-address=192.168.2.0/24 in-interface="Link Internet"
add action=accept chain=forward comment="Libera porta 80." disabled=no \
dst-port=80 protocol=tcp src-address=192.168.2.0/24
add action=accept chain=forward comment="LIbera porta 443(https)." disabled=\
no dst-port=443 protocol=tcp src-address=192.168.2.0/24
add action=accept chain=forward comment="Libera DNS UDP" disabled=no \
dst-port=53 protocol=udp src-address=192.168.2.0/24
add action=accept chain=forward comment="Libera DNS TCP." disabled=no \
dst-port=53 protocol=tcp src-address=192.168.2.0/24
add action=accept chain=forward comment="Libera conexao TS com Rede VPN." \
disabled=no dst-address=192.168.3.0/24 src-address=192.168.2.3
add action=accept chain=forward comment="Libera TS." disabled=no dst-address=\
192.168.2.3 dst-port=3389 protocol=tcp
add action=drop chain=forward comment="::::::: Bloqueio Full ::::::::" \
disabled=no
-
Re: Configuração Firewall Mikrotik
Tenho 2 conexões adsl que se conectam via PPPoE gostaria de saber como faço para que as 2 se conectem em horarios alternados, tipo 1 de 7 da manhã até as 20 horas e a outra das 20 da noite até as 7 da manhã?
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
berghetti
É assim, como você tem uma regra que bloqueia tudo, tem que liberar a comunicações do retorno da conexão.
Por exemplo, você acessa um site na porta 80 ( blz o firewall vai aceita, porque você fez a regra para aceitar), mas o site vai responder para você em outra porta aleatória e essa porta estará bloqueada pelo regra de drop geral, aí liberando o destino sua faixa local, a conexão é aceita.
Coloque como interface de entrada a interface do link, nessa regra que você criou onde o DST adress é a rede local, aí você estará limitando a regra apenas as conexões vindas da internet, fazendo assim sentido novamente a regra de drop geral ;)
Não há necessidade de fazer regra de retorno, pois o firewall é stateful. ou seja, quando alguem acessa um site, a regra de retorno nao precisa ser configurada pois o firewall sabe que já existe uma conexão em andamento para aquela comunicação.
-
Re: Configuração Firewall Mikrotik
Citação:
Postado originalmente por
korzus
Não há necessidade de fazer regra de retorno, pois o firewall é stateful. ou seja, quando alguem acessa um site, a regra de retorno nao precisa ser configurada pois o firewall sabe que já existe uma conexão em andamento para aquela comunicação.
OK, mesmo com uma regra de drop geral?
Como ficaria então para funcionar a situação do colega @sn0wt?
-
Re: Configuração Firewall Mikrotik
provavelmente está sem o nat jogando pra dentro da rede dele.
Que é exatamente o que não estou vendo até onde já li.
Ainda estou perdido quanto a atual config dele, pois já tinha respondido inicialmente o outro post https://under-linux.org/showthread.php?t=181537
@sn0wt , dá pra dar uma atualizada de como está as cfgs de fw, nat e o que mais vc está tentando fazer e nao está funcionando?
Até mais.