Solução de Problemas com Firewall

[robertojacob]

Salve amigos do Under-Linux!

Meu nome é Roberto Jacob, sou usuário deste fórum a um tempo e este é meu primeiro post, esperando eu ajudar muita gente ou o máximo possível.

Sempre vejo aqui pessoas que precisam de ajuda e gente disposta a ajudar, porém tem algo muito agravante no meio disso: respostas complicadas, pois 90% dos usuários que perguntam são iniciantes e não sabem muita coisa ou de muitas SIGLAS, são raras as respostam que realmente resolvem de maneira prática, e creio eu que o intúito deste fórum é ajudar compartilhando conhecimento.

Recentemente estive procurando por algumas regras relacionadas a Firewall no Mikrotik, e depois de visitadas inumeras páginas com respostas que não ajudam, encontrei em um site na blogosfera uma lista, não sei se completa, mas com muitos scripts indispensáveis para seu servidor rodar com mais segurança, pois muito além de apenas controlar banda, o MK tem que ser seguro. Deixemos de "palavriar", e vamos aos códigos.

Obrigado a todos que leram meu tópico, espero ter sido útil. Não sou um Geek Expert, apenas ralo muito pesquisando pra resolver meus problemas e angariar mais knowhow!

Conexoes estabelicidas
chain=forward connection-state=established action=accept

Relacionamento de conexoes
chain=forward connection-state=related action=accept

Dropa conexoes invalidas
chain=forward connection-state=invalid action=drop

Dropa exesso de ping
chain=forward protocol=icmp limit=50/5s,2 action=drop

Sem limite de ping
chain=forward protocol=icmp limit=50/5s,2 action=accept

DROPAR ARQUIVOS .SCR
chain=input content=.scr action=drop

Bloqueio NETBIOS:
chain=forward protocol=tcp dst-port=137-139 action=drop

Bloqueio NETBIOS 2
chain=forward protocol=tcp dst-port=445 action=drop

Bloqueia host se enxergar
chain=forward src-address=0.0.0.0 dst-address=0.0.0.0 action=drop

Limite de conexao P2P por clientes: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
chain=forward src-address=192.168.3.2 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
(até o final de seus ips cadastrado)

Limite de conexao por cliente: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
chain=forward src-address=192.168.3.2 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
até o final de seus ips cadastrado)

Bloqueia scan via winbox para todos
chain=input protocol=udp dst-port=5678 action=drop

Libera winbox para ips locais: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
chain=input src-address=192.168.2.2 protocol=tcp dst-port=8291 action=accept
(até o final de seus ips cadastrado)

Libera portas FTP SSH TELNET para ips locais:
chain=input src-address=192.168.2.2 protocol=tcp ds-port=21-23 action=accept

Bloqueia porta winbox range local
chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=8291 action=drop
chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=8291 action=drop

Bloqueia portas FTP SSH TELNET
chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=21-23 action=drop
chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=21-23 action=drop

Bloqueio MAC winbox
chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=20561 action=drop
chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=20561 action=drop

Bloqueio do Proxy externo
chain=input in-interface=LINK protocol=tcp dst-port=3128 action=drop

Bloqueio de ssh externo
chain=input in-interface=LINK protocol=tcp dst-port=22-23 action=drop

Bloqueio de ftp externo
chain=input in-interface=LINK protocol=tcp dst-port=21 action=drop

Bloqueio de telnet externo
chain=input in-interface=LINK protocol=tcp dst-port=23 action=drop

Bloqueio winbox externo
chain=input in-interface=LINK protocol=tcp dst-port=8291 action=drop

Bloqueio do DNS externo
chain=input in-interface=LINK protocol=tcp dst-port=53 action=drop
chain=input in-interface=LINK protocol=udp dst-port=53 action=drop

Bloqueio de VIRUS conhecidos
chain=virus protocol=tcp dst-port=445 action=drop
chain=virus protocol=udp dst-port=445 action=drop
chain=virus protocol=tcp dst-port=593 action=drop
chain=virus protocol=tcp dst-port=1080 action=drop
chain=virus protocol=tcp dst-port=1363 action=drop
chain=virus protocol=tcp dst-port=1364 action=drop
chain=virus protocol=tcp dst-port=1373 action=drop
chain=virus protocol=tcp dst-port=1377 action=drop
chain=virus protocol=tcp dst-port=1368 action=drop
chain=virus protocol=tcp dst-port=1433-1434 action=drop
chain=virus protocol=tcp dst-port=1024-1030 action=drop
chain=virus protocol=tcp dst-port=1214 action=drop

Drop Blaster Worm
chain=virus protocol=tcp dst-port=135-139 action=drop

Drop Messenger Worm
chain=virus protocol=udp dst-port=135-139 action=drop

Drop Blaster Worm
chain=virus protocol=tcp dst-port=445 action=drop

Drop Blaster Worm
chain=virus protocol=udp dst-port=445 action=drop
chain=virus protocol=tcp dst-port=593 action=drop
chain=virus protocol=tcp dst-port=1024-1030 action=drop
chain=virus protocol=tcp dst-port=1080 action=drop
chain=virus protocol=tcp dst-port=1214 action=drop
chain=virus protocol=tcp dst-port=1363 action=drop
chain=virus protocol=tcp dst-port=1364 action=drop
chain=virus protocol=tcp dst-port=1368 action=drop
chain=virus protocol=tcp dst-port=1373 action=drop
chain=virus protocol=tcp dst-port=1377 action=drop
chain=virus protocol=tcp dst-port=1433-1434 action=drop
chain=virus protocol=tcp dst-port=2745 action=drop
chain=virus protocol=tcp dst-port=2283 action=drop
chain=virus protocol=tcp dst-port=2535 action=drop
chain=virus protocol=tcp dst-port=2745 action=drop
chain=virus protocol=tcp dst-port=3127-3128 action=drop

Drop Backdoor OptixPro
chain=virus protocol=tcp dst-port=3410 action=drop
Worm
chain=virus protocol=tcp dst-port=4444 action=drop
Worm
chain=virus protocol=udp dst-port=4444 action=drop
Drop Sasser
chain=virus protocol=tcp dst-port=5554 action=drop
Drop Beagle.B
chain=virus protocol=tcp dst-port=8866 action=drop
Drop Dabber.A-B
chain=virus protocol=tcp dst-port=9898 action=drop
Drop Dumaru.Y
chain=virus protocol=tcp dst-port=10000 action=drop
Drop MyDoom.B
chain=virus protocol=tcp dst-port=10080 action=drop
Drop NetBus
chain=virus protocol=tcp dst-port=12345 action=drop
Drop Kuang2
chain=virus protocol=tcp dst-port=17300 action=drop
Drop SubSeven
chain=virus protocol=tcp dst-port=27374 action=drop
Drop PhatBot, Agobot, Gaobot
chain=virus protocol=tcp dst-port=65506 action=drop

Drop Netbios e Similar
chain=forward protocol=udp dst-port=135 action=drop
chain=forward protocol=tcp dst-port=135 action=drop
chain=forward protocol=udp dst-port=137 action=drop
chain=forward protocol=udp dst-port=137 action=drop
chain=forward protocol=udp dst-port=138 action=drop
chain=forward protocol=tcp dst-port=138 action=drop
chain=forward protocol=udp dst-port=139 action=drop
chain=forward protocol=tcp dst-port=139 action=drop
chain=forward protocol=tcp dst-port=445 action=drop
chain=forward protocol=udp dst-port=445 action=drop

acessar winbox somente administrador
chain=input protocol=tcp dst-port=8291 src-mac-address=xx:xx:xx:XX:XX:xx action=accept

bloquear winbox em todos
chain=input protocol=tcp dst-port=8291 action=drop

Quebra de Criptografia Warez: Clase C (192.168.0.0) ou Clase A (10.1.0.1)
add chain=forward src-address=192.168.3.8 protocol=tcp tcp-flags=syn connection-limit=12,32 action=drop
(até o final de seus ips cadastrado)

Obrigado.

[EdilsonLSouza]

Gostei da ideia de compartilhar o seu firewall.

[robertojacob]

sempre que eu puder ajudarei no que for possível! Obg.

[betozanre]

Cara muito bom ehin, se ta de parabéns, só me responde uma coisa, não intendi essas falas (até o final de seus ips cadastrado), o que tenho que fazer? vlw!

[robertojacob]

Cara muito bom ehin, se ta de parabéns, só me responde uma coisa, não intendi essas falas (até o final de seus ips cadastrado), o que tenho que fazer? vlw!

Amigo, isso dai é simples, é como se eu dissesse "etc.", ou seja, ai é o começo do exemplo, vc apenas tem que fazer co todos os IP's da sua rede, pois aqui no post não tem espaço suficiente e mesmo que tivesse ficaria enorme e dificultaria a leitura.
Além do que eu não sei quantos clientes você teria entendeu? Então deixei assim pra generalizar e até diminui um pouco pois não tava cabendo!
Obrigado.

[betozanre]

Muito obrigado pelo esclarecimento, mais no meu caso eu uso hotspot, que envia ip dhcp, eu tenho que fazer o que para esse firewall se aplicar na minha rede?

[robertojacob]

Se vc usa hotspot, ele cria algumas regras, nesse caso basta vc adisionar apenas algumas dessas ai, basta vc ver qual delas é mais necessária.
Eu aconselho que os hosts não se enxergem, dependendo de como está sua rede, e o cloqueio de NETBIOS.
Mas cada regra varia de acordo com a rede e com a necessidade amigo, postei todas essas ai pq sempre vejp muita gente pesquisando por elas e ninguém respondendo claramente.

Eu mesmo não precisei de todas, mas usei várias.

[betozanre]

É realmente eu tambem procurei muitas regras, eu queria bloquear o acesso via o winbox, vai que tem algum espertinho na rede pode tentar alguma coisa, e depois eu uso uma rb433 em bridge, e os meus clientes estavam se enxergando, setei todas as regras que são necessárias nos cartões Forward, e no cadastro dos macs dos clientes, e ainda sim tava se enxergando mais agora resolveu meu problema com essas suas regras... vlw mesmo.

[robertojacob]

Opa, ainda bem que o topico ajudou! Espero que ajude mais pessoas.