Página 1 de 7 123456 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Bloqueando IP reverso do adsl

    Bom, deixo mais uma valiosa dica para quem usa ADSL e quer bloquear o DNS reverso. Segue a regra:


    /ip firewall filter
    add chain=forward content=user.veloxzone.com.br \
    action=drop comment="BLOQUEIO DE DNS REVERSO" disabled=no


    Só tomar um pouco de cuidado com o "content" pois ele não é 100% preciso (usar com prudência)...

    Segue a tradução do campo, diretamente do manual da Mikrotik:



    content (text) - os pacotes que contenham o mesmo texto, serão marcados por essa regra.




    Só lembrando que ela não funciona 100% porque não usa o mecanismo layer7 para marcar os arquivos (não lê o cabeçalhos dos pacotes ips), somente lê o conteúdo do código fonte da página e marca.....

    Esta regra é para o VELOX... Para outros sistemas ADSL, posta uma tela do www.meuip.com.br que modifico a regra para sua rede..
    Última edição por catvbrasil; 04-11-2008 às 00:01.

  2. #2

    Padrão

    E no caso de eu utilizar Slackware + MyAuth e não usar Mikrotik???

    valew

  3. #3

    Padrão

    Ola CATVBRASIL, sempre acompanho os seus tópicos e como sempre sao muito uteis !

    No meu caso no site de ip reverso o "meu ip" aparece assim :

    IP Reverso 123.456.78.90.adsl.gvt.net.br

    Como ficaria esta regra?

    Agradeço desde já mais um tópico interessante !

    Abraços

  4. #4

    Padrão

    Citação Postado originalmente por Cavok Ver Post
    Ola CATVBRASIL, sempre acompanho os seus tópicos e como sempre sao muito uteis !

    No meu caso no site de ip reverso o "meu ip" aparece assim :

    IP Reverso 123.456.78.90.adsl.gvt.net.br

    Como ficaria esta regra?

    Agradeço desde já mais um tópico interessante !

    Abraços

    Coloca no "content" somente o adsl.gvt.net.br

  5. #5
    cleivon
    Visitante

    Padrão Duvida

    Amigo, desculpe a minha ingnorancia, mais eu uso um load balance 8400 da taitell, com um Speedy e um velox, em que isso pode me ajudar? qual seria o motivo de utilizar? sou novo no MK e estou apredendo muito com vc. obrigado pela colaboração.

    abraço.

  6. #6

    Padrão

    Citação Postado originalmente por cleivon Ver Post
    Amigo, desculpe a minha ingnorancia, mais eu uso um load balance 8400 da taitell, com um Speedy e um velox, em que isso pode me ajudar? qual seria o motivo de utilizar? sou novo no MK e estou apredendo muito com vc. obrigado pela colaboração.

    abraço.

    Tambem gostaria de saber o quer ganho bloqueando o ip reverso

  7. #7

    Padrão Muito Boa Esta Regra

    Testei com varios sites diferentes que detectam o IP Reverso e nenhum conseguiu descobrir que o trafego da rede partia de um Link Velox

    Parabens


  8. #8

    Padrão Outra Dica Importante

    Seria interessante tambem adicionar o prefixo " TELEMAR.NET.BR" pois se usarmos uma ferramenta de tracert externa a rede o mesmo localiza que o Ip se detem da Rede da Telemar!

    Valido somente para Velox
    Agradecendo novamente ao nosso amigo CATV pela Dica

  9. #9

    Padrão Brt

    Ola

    O meu aparece assim IP Reverso 123-45-67-899.cbace700.dsl.brasiltelecom.net.br
    Obrigado

  10. #10

    Padrão

    Citação Postado originalmente por orionstation Ver Post
    Testei com varios sites diferentes que detectam o IP Reverso e nenhum conseguiu descobrir que o trafego da rede partia de um Link Velox

    Parabens

    Orionstation, por favor, faz um teste com esse aki, veja se funciona também ? aki não tive sucesso.

    MostraIP

    Abç,

  11. #11

    Padrão

    galera o que pode estar errado, no meu não funcionou continuar mostrando o reveso.

    o mk não esta marcando pacote.

    a não ser quando mudo de input para forward, mas dessa forma o site nem abre direito.

    obs.: não tenho nenhum outra regra no firewall filter.

    abraço!

  12. #12

    Padrão

    Nao entendi o porque de bloquear este trafego... Alguem tem um motivo especial para isto?

    O exemplo esta na tabela input, logo estaria bloqueando tudo em direcao ao proprio servidor mikrotik em especifico mas liberando a porta do winbox? No que entendo, esta regra somente seria util em caso de um ataque... Mesmo assim nao entendi o porque de liberar a porta do Winbox (que deveria ser justamente o que deveriamos proteger)...

    Outra coisa, se tratando de trafego TCP ou ate mesmo UDP... Nem sempre havera o texto "veloxzone.xxx.xxx" dentro do conteudo do pacote... O modulo content busca pelo texto dentro do pacote, nao origem...

    E uma dica ao pessoal testando a regra, pensem bem antes de colocar "content" na tabela FORWARD, por exemplo... Principalmente quando nao especificando um range menor de portas... Pois o processamento desta regra pode literalmente matar seu servidor (assumindo que passa trafego dentro dele, obviamente).

  13. #13

    Padrão

    Ola CATVBRASIL,

    Testei aqui com o content adsl.gvt.net.br e nao bloqueou nada e em nenhum site.
    Puxei a regra para o promeiro lugar pensando que seria isso e tambem nao ajudou.
    Alguma dica de como bloquear ip reverso da gvt?

    Valew mais uma vez !

  14. #14

    Padrão

    Citação Postado originalmente por orionstation Ver Post
    Seria interessante tambem adicionar o prefixo " TELEMAR.NET.BR" pois se usarmos uma ferramenta de tracert externa a rede o mesmo localiza que o Ip se detem da Rede da Telemar!

    Valido somente para Velox
    Agradecendo novamente ao nosso amigo CATV pela Dica
    Amigo, o tracert tem como ser bloqueado parcialmente (só mostrar o primeiro e último pulo da rota)... essa dioca já foi postada aqui no forum....

  15. #15

    Padrão

    Citação Postado originalmente por daniloacr Ver Post
    galera o que pode estar errado, no meu não funcionou continuar mostrando o reveso.

    o mk não esta marcando pacote.

    a não ser quando mudo de input para forward, mas dessa forma o site nem abre direito.

    obs.: não tenho nenhum outra regra no firewall filter.

    abraço!
    está ae a solução... usa o forward... O site não deverá abrir mesmo (dependendo do site abre, mas esconde o reverso).....

  16. #16

    Padrão

    Citação Postado originalmente por mtrojahn Ver Post
    Nao entendi o porque de bloquear este trafego... Alguem tem um motivo especial para isto?

    O exemplo esta na tabela input, logo estaria bloqueando tudo em direcao ao proprio servidor mikrotik em especifico mas liberando a porta do winbox? No que entendo, esta regra somente seria util em caso de um ataque... Mesmo assim nao entendi o porque de liberar a porta do Winbox (que deveria ser justamente o que deveriamos proteger)...

    Outra coisa, se tratando de trafego TCP ou ate mesmo UDP... Nem sempre havera o texto "veloxzone.xxx.xxx" dentro do conteudo do pacote... O modulo content busca pelo texto dentro do pacote, nao origem...

    E uma dica ao pessoal testando a regra, pensem bem antes de colocar "content" na tabela FORWARD, por exemplo... Principalmente quando nao especificando um range menor de portas... Pois o processamento desta regra pode literalmente matar seu servidor (assumindo que passa trafego dentro dele, obviamente).

    Powwwwwww........ Amigo a regra serve para bloquear o acesso dos clientes ao reverso do link... Isso é utilizado somente para quem usa ADSL... A regra funciona perfeitamente porque o campo "content" lê dentro do código fonte da página requisita e não dentro do cabeçalho ip (isso seria função de um layer7)... Não é necessário especificar a porta (8291, foi só um teste para uma outra coisa)... A regra pode deve ser aplicada na cadeia de forward pois não é processada localmente...

  17. #17

    Padrão

    Citação Postado originalmente por aguiano Ver Post
    Ola

    O meu aparece assim IP Reverso 123-45-67-899.cbace700.dsl.brasiltelecom.net.br
    Obrigado
    Usa no content somente dsl.brasiltelecom.net. br que irá funcionar beleza........

  18. #18

    Padrão

    Só tem um problema... grande problema..

    Alguns sites, principalmente que usam no campo onde informa o ÚLTIMO LOGIN (LAST LOGIN) tipo webmail, etc.... não vai abrir. Onde mostra o IP de seu ultimo login entenderam ?

    No caso de webmail com o HORDE por exemplo, nao abre nem matando... testei aqui... será que vale a pena ? nao uso mais ADSL, já usei muito, mas esse dns reverso que me motivou mais a ir pro dedicado, era tenso cliente perguntando.. " meu filho falou q voces trabalham na verdade pra Oi, velox via rádio".. ehehehe

    Abraços e pensem em quantos sites, que podem ás vezes, apenas ler o DNS reverso, nem mostrar, por exemplo um site que faz log de quem acessa.. será que vai dar zica

    Abraços

  19. #19

    Padrão

    Citação Postado originalmente por alamdias Ver Post
    Só tem um problema... grande problema..

    Alguns sites, principalmente que usam no campo onde informa o ÚLTIMO LOGIN (LAST LOGIN) tipo webmail, etc.... não vai abrir. Onde mostra o IP de seu ultimo login entenderam ?

    No caso de webmail com o HORDE por exemplo, nao abre nem matando... testei aqui... será que vale a pena ? nao uso mais ADSL, já usei muito, mas esse dns reverso que me motivou mais a ir pro dedicado, era tenso cliente perguntando.. " meu filho falou q voces trabalham na verdade pra Oi, velox via rádio".. ehehehe

    Abraços e pensem em quantos sites, que podem ás vezes, apenas ler o DNS reverso, nem mostrar, por exemplo um site que faz log de quem acessa.. será que vai dar zica

    Abraços
    Bom Alan, fica ae sua observação... Tenho ela implantada em uma rede com velox e nunca tiveram problemas... Segue a sugestào... usem com cautela...... Postei pois uso a quase 1 ano e vi que muita gente tava buscando uma soluçào para o reverso....

  20. #20

    Padrão

    Citação Postado originalmente por alamdias Ver Post
    Só tem um problema... grande problema..

    Alguns sites, principalmente que usam no campo onde informa o ÚLTIMO LOGIN (LAST LOGIN) tipo webmail, etc.... não vai abrir. Onde mostra o IP de seu ultimo login entenderam ?

    No caso de webmail com o HORDE por exemplo, nao abre nem matando... testei aqui... será que vale a pena ? nao uso mais ADSL, já usei muito, mas esse dns reverso que me motivou mais a ir pro dedicado, era tenso cliente perguntando.. " meu filho falou q voces trabalham na verdade pra Oi, velox via rádio".. ehehehe

    Abraços e pensem em quantos sites, que podem ás vezes, apenas ler o DNS reverso, nem mostrar, por exemplo um site que faz log de quem acessa.. será que vai dar zica

    Abraços
    no meu server deu isto tbm achei que eu tinha errado alguma coisa
    hehehe