Regras firewall básicas

[jmathayde]

Caros aqui no forum vejo muita coisa sobre firewall mais uma coisa mais complexa para iniciantes iguais a min gostaria de saber o basico, ja criei alguams regras e gostaria de saber se elas estao certas vou fazer algumas perguntas e se alguem puder responda :


1 - Bloqueio de porta expecifica exemplo de portas de dentro para fora

add chain=forward protocol=udp src-port=135-140 action=drop comment="" \
disabled=no


1.1 Bloqueio de porta expecifica exemplo de portas por ip ou rede
add chain=forward dst-address=10.12.10.2 protocol=tcp src-port=50000-65535 \
action=drop comment="" disabled=no

1.1 Bloqueio de porta expecifica exemplo de portas por ip ou rede de fora para dentro
add chain=forward dst-address=10.12.10.2 protocol=tcp dst-port=50000-65535 \
action=drop comment="" disabled=no


2 - limitar portas exemplo rage de 8189-65535

add chain=forward protocol=tcp dst-port=8189-65535 tcp-flags=syn \
connection-limit=10,32 action=drop comment="" disabled=no

por enquanto estas quero saber se o meu raciocinio esta certo , ou estou errado algumas ou em todas.

[pegasuz]

Olá jmathayde,

Sou 'usuário' de Mikrotik já faz algum tempo e, mesmo assim, posso garantir que ainda tenho algumas dificuldades. Sugiro que você dê uma olhada em:

--> Firewall no mikrotik por onde comeco (aqui mesmo na Under)
--> Script firewall completo e atualizado! (aqui mesmo na Under)
--> http://www.mikrotik.com/cgi/search.c...g.x=13&img.y=8 (site da Mikrotik)

Qualquer coisa que estiver ao meu alcance, é só pedir...!!!
Um abraço.

[exwashington]

jul 04 at 22:35
amigos, estou com um problema, tenho um link chegando pra mim com o ip 192.168.0100 e preciso configurar o Mikrotik pra ele repassar esse link pra clientes com outra faixa de ip e com controle de banda, se possivel com mascara 252. até aí blz, configurei minha placa de entrada com ip 192.168.0.200 coloquei o 192.168.0.100 como gateway e coloquei ip 10.50.50.1 na placa de rede local, adicionei os dns e adicionei o nat no firewall , mais num consigo fazer com que os clientes navegem, algem teria um tutorial, ou pelo menos me dar umas dicas, ficaria muito agradecido. tenho dúvidas tambem de comoc cadastrar os clientes.

[exwashington]

Sempre encontro tutorial pra servidor hotspot ou pppoe , mais no meu caso quero montar com ip de entrada 192.168.0.? e repassar com 10.50.50.? mascara final 252 exemplo ip cliente 10.50.50.6 gw 10.50.50.5 mascara final 252 e segundo cliente ip 10.50.50.10 gw 10.50.50.9 tercceiro 10.50.50.14 gw 10.50.50.13 e assim por diante, alguem me ajudem por tudo que é mais sagrado, preciso muito fazer isso funcionar. desde ja agradeço a alma caridosa que me ajudar.

[pegasuz]

Olá exwashington,

Estive analizando sua dúvida e, supondo que você já consiga navegar com esse IP 192.168.0.100:
1 - O seu MK deverá ter, no mínimo 2 placas de rede. Renomeie a que recebe o Link para WAN e a que vai fornecer o link para os clientes para LAN.
2 - a) Em IP address, crie uma nova regra (+) e preencha com:
Address: 192.168.0.200/24
Interface: WAN
Clique em Apply que o próprio MK preenche o resto, depois clique em OK.
b) Crie uma nova regra, preenchendo com:
Address: 10.50.50.1/24
Interface: LAN
Novamente, clique em Apply que o próprio MK preenche o resto, depois clique em OK.
3 - Em IP, Firewall, NAT vamos criar uma nova regra (+) com os seguintes dados:
Chain: srcnat
Out Interface: WAN
Na aba Action, em Action selecione masquerade.
4 - Agora, vamos criar um servidor DHCP só pra colocar em funcionamento o nosso servidor...!!!
a) Em IP, DHCP Server,clique em SETUP...
b) Em DHCP server Interface, selecione LAN e clique em NEXT...
c) Em DHCP Address Space, coloque 10.50.50.0/24, NEXT...
d) Em Gateway for DHCP Network, digite 10.50.50.1 (que é o endereço de sua placa LAN), NEXT...
e) Em Address to give out (este é o intervalo de IPs que o MK irá gerar) deixe como está ou digite uma nova sequencia entre 10.50.50.2 até 10.50.50.254 separda por - (hífen), NEXT...
f) Em DNS Server coloque endereços de DNS válidos (Ex.: 208.67.220.220 e 208.67.222.222 -Open DNS), NEXT...
g) Lease Time é o tempo de reserva do endereço IP gerado pelo MK, neste caso 3 dias, NEXT...
5 - Em IP, Routes crie uma nova regra: em Gateway digite o endereço da sua placa WAN (192.168.0.100, neste caso). O restante não é necessário preencher, apply, OK.

Pronto... Deverá estar funcionando certinho...!!!
Qualquer dúvida é só postar,

Um abraço.

[exwashington]

olá amigo, sua ajuda foi muito útil. agora ta funcionando e navegando normal. só ficou um probleminha, o msn não conecta nem a pau, e o site do hotmail não consegue logar, num testei o skype. tem como forçar o proxy ou o firewall a liberar o msn e o hotmail.

[jrscandolara]

Olá amigos! sou novo por aqui! trabalho com redes de linux, mais iniciante me MK.
quero redirecionar a porta 3389 do meu TS no Mk, mais não estou conseguindo, o meu Link é de ADSL, eu tinha funcioando num server linux dae troquei para MK e não consigo redirecionar a porta. a regra que tenho é a seguinte:

chain=dstnat dst adress=0.0.0.0/0 in-interface=internet protocol=tcp dst-port=3389 action=dst-nat to-addresses=10.1.1.250 to-ports=3389
Agradeço!
Abraço a Todos

[Não Registrado]

amigo, antes da regra que vc postou, vc tem que entrar no diretório IP -> Firewall -> NAT e digitar "add" antes, tipo.. add chain=dstnat dst adress=0.0.0.0/0 in-interface=internet protocol=tcp dst-port=3389 action=dst-nat to-addresses=10.1.1.250 to-ports=3389 .
outra coisa, vc está certo que sua placa sua placa está nomeada como "internet" ?
espero ter ajudado. abraços t+

[superxandaoce]

Olá jmathayde,

Sou 'usuário' de Mikrotik já faz algum tempo e, mesmo assim, posso garantir que ainda tenho algumas dificuldades. Sugiro que você dê uma olhada em:

--> Firewall no mikrotik por onde comeco (aqui mesmo na Under)
--> Script firewall completo e atualizado! (aqui mesmo na Under)
--> MikroTik: firewall (site da Mikrotik)

Qualquer coisa que estiver ao meu alcance, é só pedir...!!!
Um abraço.

Aproveitando a dica de nosso amigo, usem o site da mikrotik com o recurso do google, para traduzir a página. Usei aqui e ficou bom, dar pra tirar bastante proveito