filter completo

[felixhmakowski]

redenetworks e copel sao interfaces publicas a rede interna ta como cliente..
a regra que aceita as conecsoes proxy mostra a 3º interface...

[prdemori]

felixhmakowski,

parabéns pelo pôster...
vou te dar uma diga pra melhorar um pouco mais...
procure montar um firewall que finalize com as seguintes regras:

chain:forward action:drop
chain:input action:drop
chainutput action:drop

estou montando meu firewall ainda...
porém não tive tempo para finalizar ainda...

[rogeriodj]

Amigo algumas dessas regras, pode influenciar negativamente no MSN, pois as mensagens so vão se a pessoa estiver online, se estiver ocupado ou ausente a mensagem volta....

[felixhmakowski]

nao pois as regras sao regras de bloqueio.. no casso do msn ele nem logaria se o firewall tivese bloqueando ele...

[caicarabruno]

Bom as regras são interessantes, mas eu não utilizo muitas regras.

Somente ataque DoS, conexões inválidas e Conexões externas ao firewall.

Deixo a cargo dos usuários, pois o restante e controle p2p e Simple Queue, ao meu ver muitas regras antes de sair para Rede causa lentidão e pico de processamento, o mínimo muitas vezes é melhor.

e outra se o cliente tiver tentando invadir, JOGUE o MAC dele no Blacklist rsss. Ai vai ligar reclamando ai você conversa com ele sobre.

Ou usa apenas uma regra, Dropa tudo e libera apenas FTP, WWW e Winbox. acabo. rss

Abraços

Bruno Queiroz

[william]

Bom as regras são interessantes, mas eu não utilizo muitas regras.

Somente ataque DoS, conexões inválidas e Conexões externas ao firewall.

Deixo a cargo dos usuários, pois o restante e controle p2p e Simple Queue, ao meu ver muitas regras antes de sair para Rede causa lentidão e pico de processamento, o mínimo muitas vezes é melhor.

e outra se o cliente tiver tentando invadir, JOGUE o MAC dele no Blacklist rsss. Ai vai ligar reclamando ai você conversa com ele sobre.

Ou usa apenas uma regra, Dropa tudo e libera apenas FTP, WWW e Winbox. acabo. rss

Abraços

Bruno Queiroz

ola caicarabruno vc pode me ajudar colocando um Firewall basico para mim que estou começando nesse ramo.

[caicarabruno]

Bom, não indico CTRL + C / CTRL + V, pois muitos aqui no forum tem muitos problemas devido a comodidade de como faz pode passar para mim. Leia Entenda, Pesquise, Compartilhe o que aprendeu.

Regras

/ip firewall filter

1 - add chain=input connection-state=established comment="Aceitar Conexões Esatabelecidas"

2 - add chain=input connection-state=related comment="Aceitar conexões relatadas / estabilizadas"

3 - add chain=input connection-state=invalid action=drop comment="Dropa Conexões inválidas"

4 - add chain=input protocol=udp action=accept comment="UDP" disabled=no

5 - add chain=input protocol=icmp limit=50/5a,2 comment="Limitar quantidade de pings"

6 - add chain=input protocol-icmp action=drop comment="Dropa excesso de ping"

7 - add chain=input protocol=tcp dst-port=22 comment="Acesso SSH"

8 - add chian=input protocol=tcp dst-port=8291 comment="Porta acesso Winbox"

9 - add chain=input action=log log-prefix="drop input" comment="Gera log de tudo"

No 7 em especifico você pode adicionar um "action=drop" se quiser bloquear a porta, e se mudar a porta tu coloca ali o número da porta nova para ssh

Bom regrinhas bem básicas, você pode utilizar as de virus do nosso amigo, mas para mim eu costumo utilizar o mínimo possivel.

Estas regras provavelmente estão aqui no forum.

Abraços

Bruno Queiroz

[ddllss]

Bom, não indico CTRL + C / CTRL + V, pois muitos aqui no forum tem muitos problemas devido a comodidade de como faz pode passar para mim. Leia Entenda, Pesquise, Compartilhe o que aprendeu.
Bruno Queiroz

Sim Bruno você tem razão, quando começei com o MK tudo que achava na net jogava no MK achando que estava melhorando..
Com o passar do tempo fui percebendo que meu firewall tinha diversas regras e muitas repetidas..
Mas nada como o tempo e o conhecimento pra ir mudando isso, e a cada dia aprendemos um pouco mais..
Bom o topico do amigo, mas olhe quantas regras de suposto "virus" tem com a porta 31337.
abraços,

[caicarabruno]

Sim Bruno você tem razão, quando começei com o MK tudo que achava na net jogava no MK achando que estava melhorando..
Com o passar do tempo fui percebendo que meu firewall tinha diversas regras e muitas repetidas..
Mas nada como o tempo e o conhecimento pra ir mudando isso, e a cada dia aprendemos um pouco mais..
Bom o topico do amigo, mas olhe quantas regras de suposto "virus" tem com a porta 31337.
abraços,

Realmente tem umas duplicadas, mas imaginem, antes de enviar para o usuário(input), ou antes de o usuário enviar (output) vai ter de passar por todas aquelas regras, por mais que seja tudo muito rápido isso vai agir em cima do processamento da RB ou PC.

Agora imagine vários clientes fazendo estas requisições, todas as regras colocadas desde DHCP, Criptografia no Wireless, regras de NAT, controles de Banda, você consumindo banda rss(1M mínimo), e um monte de filters, verificações Ufa. Ele vai cansar e quando cansar. Novo tópico no Forum.

Quer uam regra eficiente para tudo isso ?? Bloqueia tudo e libera o que é necessário.

Abraços

Bruno Queiroz

[jmathayde]

Realmente tem umas duplicadas, mas imaginem, antes de enviar para o usuário(input), ou antes de o usuário enviar (output) vai ter de passar por todas aquelas regras, por mais que seja tudo muito rápido isso vai agir em cima do processamento da RB ou PC.

Agora imagine vários clientes fazendo estas requisições, todas as regras colocadas desde DHCP, Criptografia no Wireless, regras de NAT, controles de Banda, você consumindo banda rss(1M mínimo), e um monte de filters, verificações Ufa. Ele vai cansar e quando cansar. Novo tópico no Forum.

Quer uam regra eficiente para tudo isso ?? Bloqueia tudo e libera o que é necessário.

Abraços

Bruno Queiroz

Esta parte que não é muito facil de se fazer , eu deixei para mais tarde para fazer esta politica de firewall pois uso o hotspot aqui , e ele trabalha com algumas portas que ainda nao conseui litar todas elas .