Problemas com Regras que não Funcionam

[joeblack]

Bom Dia pessoal.

tenho dois micros com MK instalados rodando v.2.9.27 e as regras do firewall funcionam muito bem.
adquiri agora algumas routerboard , só que as mesmas regras não funcionam, notei quando observei que pacotes nas portas 135-139 não estão sendo bloqueados, os contadores ficam todos no zero.
Alguem tem idéia pq isso acontece???

[ziebert]

Deve ser a ordem das regras, deve ter uma regra antes dessa que ta liberando... exporta suas regras e coloca aqui pra ver...

vlw

[joeblack]

add chain=input connection-state=invalid action=drop comment="Drop invalid \
connections" disabled=no
add chain=input connection-state=related action=accept comment="Accept related \
connections" disabled=no
add chain=input connection-state=established action=accept comment="Accept \
established connections" disabled=no
add chain=input protocol=tcp connection-limit=10,32 \
action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d comment="detecta DoS attack 1 IP" disabled=no
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer \
action=drop comment="Regra 1 Anti-Spammer" disabled=no
add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 \
src-address-list=!spammer action=add-src-to-address-list \
address-list=spammer address-list-timeout=1d comment="Regra 2 \
Anti-Spammer" disabled=no
add chain=input action=drop comment="Loga and dropa todo o resto" disabled=no
add chain=forward connection-state=established action=accept \
comment="Conexcoes Estabelecidas" disabled=no
add chain=forward connection-state=related action=accept comment="Related \
connections" disabled=no
add chain=forward connection-state=invalid action=drop comment="Drop invalid \
connections" disabled=no
add chain=forward protocol=udp action=accept comment="UDP" disabled=no
add chain=forward protocol=tcp dst-port=445-449 action=drop comment="Drop \
Blaster Worm" disabled=no
add chain=forward protocol=udp dst-port=445-449 action=drop comment="Drop \
Blaster Worm" disabled=no
add chain=forward protocol=tcp dst-port=593 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=593 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=1214 action=drop comment="" \
disabled=no
add chain=forward protocol=tcp dst-port=5554 action=drop comment="" \
disabled=no
add chain=forward protocol=tcp dst-port=135-139 action=drop comment="Drop \
Blaster Worm" disabled=no
add chain=forward protocol=udp dst-port=135-139 action=drop comment="Drop \
Messenger Worm" disabled=no
add chain=forward protocol=tcp dst-port=1024-1030 action=drop \
comment="________" disabled=no
add chain=forward protocol=tcp dst-port=1080 action=drop comment="Dropa \
MyDoom" disabled=no
add chain=forward protocol=tcp dst-port=1214 action=drop comment="________" \
disabled=no
add chain=forward protocol=tcp dst-port=1363 action=drop comment="ndm \
requester" disabled=no
add chain=forward protocol=tcp dst-port=1364 action=drop comment="ndm server" \
disabled=no
add chain=forward protocol=tcp dst-port=1368 action=drop comment="screen cast" \
disabled=no
add chain=forward protocol=tcp dst-port=1373 action=drop comment="hromgrafx" \
disabled=no
add chain=forward protocol=tcp dst-port=1377 action=drop comment="cichlid" \
disabled=no
add chain=forward protocol=tcp dst-port=1433-1434 action=drop comment="Worm" \
disabled=no
add chain=forward protocol=tcp dst-port=2745 action=drop comment="Bagle Virus" \
disabled=no
add chain=forward protocol=tcp dst-port=2283 action=drop comment="Dropa \
Dumaru.Y" disabled=no
add chain=forward protocol=tcp dst-port=2535 action=drop comment="Dropa \
Beagle" disabled=no
add chain=forward protocol=tcp dst-port=2745 action=drop comment="Drop \
Beagle.C-K" disabled=no
add chain=forward protocol=tcp dst-port=3127-3128 action=drop comment="Drop \
MyDoom" disabled=no
add chain=forward protocol=tcp dst-port=3410 action=drop comment="Drop \
Backdoor OptixPro" disabled=no
add chain=forward protocol=tcp dst-port=4444 action=drop comment="Worm" \
disabled=no
add chain=forward protocol=udp dst-port=4444 action=drop comment="Worm" \
disabled=no
add chain=forward protocol=tcp dst-port=5554 action=drop comment="Dropa \
Sasser" disabled=no
add chain=forward protocol=tcp dst-port=8866 action=drop comment="Dropa \
Beagle.B" disabled=no
add chain=forward protocol=tcp dst-port=9898 action=drop comment="Drop \
Dabber.A-B" disabled=no
add chain=forward protocol=tcp dst-port=10000 action=drop comment="Drop \
Dumaru.Y" disabled=no
add chain=forward protocol=tcp dst-port=10080 action=drop comment="Drop \
MyDoom.B" disabled=no
add chain=forward protocol=tcp dst-port=12345 action=drop comment="Dropa \
NetBus" disabled=no
add chain=forward protocol=tcp dst-port=17300 action=drop comment="Dropa \
Kuang2" disabled=no
add chain=forward protocol=tcp dst-port=27374 action=drop comment="Drop \
SubSeven" disabled=no


Está são as regras que utilizo, mais como disse acredito que não seja a ordem, pois em um MK que tenho rodando elas funcionam super bem, só que na routerboards que adquiri não.
Agradeço desde já qualquer ajuda.

[ziebert]

Notei que vc esta usando as regras de virus somente no canal forward, esperimente essa regra no inicio de todas:

add chain=input action=jump jump-target=virus comment="Joga input para canal virus" disabled=no
add chain=forward action=jump jump-target=virus comment="Joga forward para canal virus" disabled=no

agora é so mandar todas as regras de drop pasarem pelo canal virus, não forward.

testa ai...

vlw

[slaker]

Cara se ainda não deu certo o teu firewall você tem que ir somente em bridge settings e marcar use ip firewall que é o primeiro

[joeblack]

Slaker, valeu pela dica, essa opção resolveu o meu problema, outra coisa que reparei foi que só em algumas Routerboard isso acontece, as RBs que estão com versão do MK acima da 3.0

Agradeço a atenção de todos que me ajudaram.